정보누출
정보 누출 취약점은 웹 애플리케이션에 데이터가 노출되는 것으로 개발 과정의 주석이나 오류 메시지 등에서 중요한 정보가 노출되어 2차 공격을 하기 위한 정보를 제공하는 취약점 또는 법적 근거에 의해 패치되어야 하는 취약점입니다.
개인 정보 노출, 에러 정보 노출, 서버 절대경로 노출, 관리자 페이지 노출 등이 정보 노출에 해당됩니다.
|
No |
실습 위치 |
비고 |
|
1 |
php 관리자 페이지 |
|
|
2 |
메인 페이지 |
Case1. php 관리자 페이지 노출
Step1. 기본 관리자 페이지 문자열(phpMyAdmin, mydbadmin 등)을 시도하여 도메인에 접속합니다.
Case2. 메인페이지 파일 확장자 노출
Step1. 주소창에서 경로의 확장자가 표시되는지 확인합니다.
Step2:소스코드의 주석에서는 파일 업로드 경로를 확인할 수 있습니다.
Case3. PHP 버전 정보 노출
Step1. 응답 헤더로부터 버전 정보가 노출되는지 확인할 수 있습니다.
서버 정보 노출로 인해 해당 버전의 취약점을 이용한 2차 공격의 정보로 사용될 수 있습니다. 주석으로 인한 업로드 경로 노출은 파일 업로드, 다운로드 공격 시 중요한 정보가 될 수 있으므로 주석은 서버 측 언어로 작성하며 에러 페이지는 하나의 에러페이지로 리다이렉트 해야 합니다. 또한, 정확한 Exception 처리를 하여 에러가 사용자에게 노출되지 않도록 해야 합니다.
반응형
'Security > WEB' 카테고리의 다른 글
| [CVE-2021-3281] Django Path Traversal 취약성 연구 (0) | 2021.08.31 |
|---|---|
| [모의해킹 실습] 데이터 평문전송 취약 페이지 구현 및 공격 실습 (0) | 2021.08.06 |
| [Angular]설치 및 시작하기 (0) | 2021.07.31 |
| [모의해킹 실습] 불충분한 인가 페이지 구현 및 공격 실습 (0) | 2021.07.31 |
| [모의해킹 실습] 불충분한 인증 페이지 구현 및 공격 실습 (0) | 2021.07.27 |