[보안 해킹] 홈페이지 보안취약점 - 불필요한 Method 혀용 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 웹 서비스 제공 시 불필요한 Method(PUT, DELETE, OPTIONS 등) 허용으로 공격자에 의해 악성파일을 업로드 하거나 중요파일 삭제가 가능해지는 취약점 ⑵ 사례 ① OO기관은 GET, POST 외에 Method를 허용하여 웹서버 정보 획득, 파일업로드 등의 공격이 가능함 ※ 윈도우에 nc가 없기때문에 직접 설치하셔야 합니다. ■ 점검방법 ⑴ 텔넷에 접속하여 불필요한 Method 가 활성화 되어 있는지 확인 ① 텔넷 접속 ② Method 정보 요청 ③ PUT, DELETE Method 활성화 여부 확인 ■ 대응방안 ⑴ 웹 서버 내에서의 조치 ① 홈페이지 운영에 불필요한 Meth..

[보안 해킹] 홈페이지 보안취약점 - 디렉토리 노출 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 서버내의 모든 디렉토리 혹은 중요한 정보가 포함된 디렉토리에 대해 인덱싱이 가능하게 설정되어 중요파일 정보가 노출될 수 있는 취약점 ⑵ 사례 ① OO기관의 일부 페이지에서 디렉토리 나열 취약점이 존재하여 내부구조를 확인할 수 있음 ② OO대학은 일부 페이지에서 디렉토리 나열 취약점이 존재하여 웹서버 내 파일 목록 열람 가능 ■ 점검방법 ⑴ 직접 점검방법 ① 점검 대상 웹 사이트의 하위 디렉토리 정보를 사전에 모두 확인 ② 웹 루트(Root)의 모든 하위 디렉토리에 대해서 웹 브라우저에 해당 주소를 입력하여 디렉토리 리스팅 취약점 존재여부를 점검 ※ 참고사항 http://test.co.kr/ 이란 웹서버..

[보안 해킹] 홈페이지 보안취약점 - 관리자페이지 노출 취약점 ■ 취약점 설명 및 사례 ⑴ 취약점 설명 - 관리자페이지가 인터넷을 통해 접근 가능할 경우, 공격자의 주 타켓이 되어, 공격자의 SQL 인젝션, Brute-Force공격 등 다양한 형태의 공격의 빌미를 제공하게 되는 취약점 ⑵ 사례 ① OO기관의 경우 관리자 외의 IP에서 관리자페이지로 접근이 가능함. 소스보기로 관리프로그램 로그인 페이지 확인 가능 ② OO병원은 유추하기 쉬운 URL을 사용하여 관리자페이지의 임의 접근이 가능 ■ 점검방법 - 직접 점검하는 방법으로 점검하고, 구글 웹사이트를 활용하여 추가 점검 ⑴ 직접 점검하는 방법 ① 관리자 페이지 위치를 알지 못할 경우 일반적으로 많이 사용하는 관리자 페이지 명을 입력하여 관리자 페이지가..