위치공개 취약점은 예측 가능한 폴더나 파일명을 사용하여 위치가 노출되어 해커가 이를 악용하여 대상에 대한 정보 및 데이터에 접근하는 취약점을 의미 합니다.
개발을 하면서 back, bak 형식의 파일을 만들거나 또는 zip형식의 파일을 배포하는 디렉토리에 그대로 올려 둔 경우에 이를 다운로드 받아서 정보를 가져가는 문제를 의미 합니다.
#방법1
디렉토리 인덱싱(DI) 취약점이 먼저 조치가 되어야 합니다.
디렉토리 인덱싱은 해커의 요청으로 부터 요청된 주소 아래의 접근 가능한 파일목록을 볼 수 있는 취약점 입니다.
* 조치방법
https://lts0606.tistory.com/542
8. 디렉토리 인덱싱(directory indexing)
디렉토리 인덱싱 취약점은 서버내의 모든 디렉터리 및 파일에 대해 인덱싱이 가능하여 모든 파일에 대한 목록을 볼 수 있는 취약점을 의미 합니다. 예를 들어 http://주소/css/ 또는 http://주소/js/
lts0606.tistory.com
#방법2
불필요한 파일은 웹 어플리케이션에서 전부 제거합니다.
개발시 습관적으로 아래와 같은 유형의 파일을 남기기 때문에 실제 운영중인 서버에는 반영되지 않도록 해야 합니다.
#예시
.bak, .backup, .org, .old, .zip, .log, .sql, .new, .txt, .tmp, .temp
이상으로 위치공개(PL) 취약점 대비방법에 대해서 간단하게 살펴보았습니다.
궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻
반응형
'웹 취약점(Web vulnerability)' 카테고리의 다른 글
| 28. 쿠키변조(CC) (0) | 2021.12.10 |
|---|---|
| 27. 데이터 평문전송(SN) (0) | 2021.12.10 |
| 25. 경로 추적(PT) (0) | 2021.12.10 |
| 24. 관리자 페이지 노출(AE) (0) | 2021.12.10 |
| 23. 파일 다운로드(FD) (0) | 2021.12.10 |
* 위 에니메이션은 Html의 캔버스(canvas)기반으로 동작하는 기능 입니다. Html 캔버스 튜토리얼 도 한번 살펴보세요~ :)
* 직접 만든 Html 캔버스 애니메이션 도 한번 살펴보세요~ :)
댓글