1581,

14/80

whqkdnf000

http://hack-ing.ohpy.com

홈페이지 취약점 점검 및 조치방법#1

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=911 [복사]

1. 디렉토리 리스팅 취약점

[개요]

인터넷 이용자에게 웹 서버 내 모든 디렉토리 및 파일 목록을 보여주고, 파일의 열람 및 저장도 가능하게 하는 취약점

[점검범위]

점검 대상 홈페이지에 디렉토리 리스팅 취약점이 존재하는지 여부를 점검하고, 디렉토리 리스팅 취약점 페이지가 구글엔진에 저장되었지는 여부를 점검한다.

[점검방법]

1,구글을 통한 점검방법

구글 사이트에 접속한다.
고급 검색으로 이동한다.
도메인 설정 란에는 해당 사이트 주소를 입력하고, 검색창에는 다음을 입력하여   디렉토리 목록이 저장된 페이지를 찾습니다.
검색어 : intitle:index.of "parent directory"
검색어 : intitle:index.of name size
검색어 : intext:"[부모 디렉터리로 이동]
검색 결과를 바탕으로 해당 사이트의 디렉토리 노출을 확인.

2,직접점검방법

 해당 웹 사이트의 하위 디렉토리 정보를 사전에 모두 확인한다.
 웹 루트의 모든 하위 디렉토리에 대해서 웹 브라우저에 해당 주소를 입력해서 디렉토리 노출 여부를 점검한다.

예) http://www.sample.go.kr/ 이란 웹 서버의 웹 루트 밑에 “file”이란 디렉토리가 있다면 웹 브라우저의 URL 주소 입력란에 http://www.sample.go.kr/file/ 이라고 입력한다. 이 때 “file” 디렉토리 하위 내용이 모두 화면에 출력된다면 디렉토리 리스팅 취약점이 존재하는 것이다.(반드시 맨 끝의 ‘/’ 까지 입력) 모든 디렉토리에 대해 디렉토리 리스팅 취약점 존재 여부를 확인한다.

[조치방법]

1,캐쉬에 노출된 경우

  개인정보 취약점 페이지가 구글에 노출된 경우에는 먼저 홈페이지에도 개인정보 취약점 노출이 있는지 여부를 확인하여 홈페이지의 개인정보 취약점을 제거 한 후, 구글 검색 사이트에 해당 캐쉬에 대해 삭제를 요청하는 이메일을 발송하시고.
    개인정보의 노출 정도가 심각하여 긴급하게 노출을 방지하고자 한다면, 구글의 자동 URL 삭제 시스템을 이용하여, URL이 검색되지 않도록 합니다.
※구글 자동 URL 삭제 시스템:
http://services.google.com:8882/urlconsole/controller?cmd=reload&lastcmd=login

2,직접 점검 시 노출의 경우(윈도우)

 [제어판]→[관리도구]의 [인터넷 서비스 관리자](혹은 [인터넷 정보 서비스]) 메뉴에서 [기본 웹 사이트]의 마우스 오른쪽 클릭, ‘속성’ 부분을 보면 ‘기본 웹 사이트 등록 정보’가 나온다. 기본 웹 사이트 등록 정보’에서 ‘홈 디렉토리’ 부분을 클릭한 후 ‘디렉토리 검색(B)' 부분의 체크를 해지한다.

3,직접 점검 시 노출의 경우(리눅스/유닉스)

 서버에서 “httpd.conf” 라는 파일을 찾는다. 파일 내용 중 Options 항목 뒤에 Indexes 라는 단어를 지우고 파일을 저장한다. 이 때, Options 는 디렉토리 별로 설정할 수 있게 되어 있으므로 모든 디렉토리에 대해서 Options 항목을 제거한다. 설정을 적용하기 위해 웹 서버 데몬을 다시 띄워준다.

디렉토리리스닝취약점에대해 올려드렸구요
다음엔 파일다운로드 취약점에관하여 올려드리겠습니다~
해쿨여러분 행복한하루돼세요~

Hit : 10665 Date : 2008/01/01 09:54