[보안 해킹] 홈페이지 보안 취약점 - 에러처리 취약점
■ 취약점 설명 및 사례
⑴ 취약점 설명
- 웹 서버에 별도의 에러페이지를 설정하지 않은 경우, 에러 메시지를 통해 서버 데이터 정보 등 공격에 필요한 정보가 노출되는 취약점
⑵ 사례
① OO대학은 임의적인 정보 입력으로 웹 응용프로그램의 오류를 유도하여 응용프로그램의 정보 및 응용프로그램의 취약점을 파악 가능
- clng 함수 오류로, VBscript 에러가 발생함
② OO대학은 ASP.NET 시스템 설정 오류로 시스템의 정보가 노출됨
■ 점검 방법
⑴ URL 에 웹 서버 디렉토리명을 입력하여 에러페이지 확인
① 디렉토리 경로가 포함된(예 : admin/admin.php) URL 확인
② admin.php 부분을 지운 후 접속하여 에러페이지 확인
■ 대응 방안
⑴ 홈페이지의 에러페이지는 별도의 에러페이지를 제작하여 에러발생 시 에러페이지로 Redirection
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
[보안 해킹] 홈페이지 개발 보안 방안 - 운영체제 명령 실행 (0) | 2016.10.19 |
---|---|
[보안 해킹] 홈페이지 개발 보안 방안 - SQL 인젝션 (0) | 2016.10.18 |
[보안 해킹] 홈페이지 보안 취약점 - 권한 인증 취약점(쿠키 변조) (0) | 2016.10.18 |
[보안 해킹] 홈페이지 보안 취약점 - 권한 인증 취약점(세션 탈취) (0) | 2016.10.18 |
[보안 해킹] 홈페이지 보안 취약점 - 권한 인증 취약점(파라미터/URL 변조) (0) | 2016.10.17 |