[보안 해킹] 홈페이지 보안 취약점 - 취약한 파일 존재
■ 취약점 설명 및 사례
⑴ 취약점 설명
- 웹 루트 하위에 내부 문서나 백업파일, 로그파일, 압축파일과 같은 파일이 존재할 경우 파일명을 유추하여 파일명을 알아내고, 직접 요청하여 해킹에 필요한 서비스 정보를 획득할 수 있는 취약점
⑵ 사례
① OO서비스는 웹 서버 개발 시 개발·보수 등의 이유로 임시 페이지로 인해 시스템 정보가 노출
② OO기관은 테스트용으로 사용했던 페이지가 존재
■ 점검방법
⑴ 웹서버의 가상 디렉토리로 이동하여 다음에 제시되는 확장자의 파일을 찾아 불필요한 정보가 포함 되었는지 여부를 판단
※ 문서파일일 경우 내용에 개인정보 등의 주요정보 존재여부 확인 필요
|
구 분 |
검색할 파일의 형식(확장자) |
|
압축파일 |
.zip, .rar, .alz, .tar, .gz, .gzip 등의 압축파일 |
|
백업파일 |
.bak, org 등 |
|
로그파일 |
.log, txt 등 |
|
설정파일 |
.sql, .ini, .bat 등 |
|
문서파일 |
.hwp, .doc, .xls, .ppt, .pdf 등 |
|
기타 |
test.*, imsi.*, .tmp 등 |
|
Windows 의 검색 방법 예) dir /[웹서버디렉토리] /s *.bak |
Unix, Linux 의 검색 방법 예) find /[웹서버디렉토리] -name "*.bak" |
⑵ PHP 언어로 개발된 웹서버의 경우 아래와 같은 정보를 출력하는 웹페이지(phpinfo.php)가 존재하는지 점검
|
검색 방법 예) find /[웹서버디렉토리] -name "phpinfo.php" 또는 모든 PHP 파일에 아래의 문자열이 포함되어 있는 파일을 조회함 (단, 파일내의 문자열 검색 시 시스템에 과부하가 발생할 수 있음) 예) grep "phpinfo()" *php |
■ 대응방안
⑴ 웹 서버 내에서의 조치
① 웹서버는 개발과 운영 환경을 분리하여 운영 환경에서 소스 코드 수정 또는 테스트 목적의 임시 파일을 생성하지 않도록 함
② 웹 서버의 디렉토리에 존재하는 기본 설치 파일, 임시 및 백업 파일을 조사하여 웹 사용자가 접근하지 못하도록 조치
|
구 분 |
설치 시 생성되는 기본 파일 위치 |
|
아파치(Apache) |
ServerRoot/cgi-bin/ |
|
톰켓(Tomcat) |
TOMCAT_HOME/examples |
|
웹토비(WebToB) |
ServerRoot/cgi-bin/ |
③ 정기적으로 불필요 파일을 검색하여 제거함
◆ 일반적으로 존재하는 백업파일 유형
|
구 분 |
내 용 |
|
*.bak |
Edit plus, Ultra Edit 등의 작업을 할 경우 기본 설정에 의해 백업파일이 생성된다. |
|
ws_ftp.log |
WS FTP를 사용하여 어플리케이션을 업로드 한 경우 로그파일에 디렉토리 구조, 숨겨진 파일들을 알아낼 수 있다. |
|
*.tar.gz |
주로 웹 어플리케이션을 압축한 형태로 존재 한다. |
|
*.zip |
주로 웹 어플리케이션을 압축한 형태로 존재 한다. |
|
파일명.날짜 |
main.jsp.20121111 와 같은 형식의 백업파일을 사용한다. |
|
*.html.old |
기존 파일을 백업하는 개념으로 old를 사용한다. |
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 보안 취약점 - 실명인증 취약점 (0) | 2016.10.10 |
|---|---|
| [보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점 (0) | 2016.10.08 |
| [보안 해킹] 홈페이지 보안취약점 - 불필요한 Method 혀용 취약점 (0) | 2016.10.06 |
| [보안 해킹] 홈페이지 보안취약점 - 시스템 관리 취약점 (0) | 2016.10.05 |
| [보안 해킹] 홈페이지 보안취약점 - 디렉토리 노출 취약점 (0) | 2016.10.05 |
