1580, 4/79 회원가입  로그인  
   answp
   http://a
   [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1209 [복사]


===============================================================================

>===============================================================================
>
>>===============================================================================
>>
>>>===============================================================================
>>>
>>>>1. 디렉토리 리스팅 취약점
>>>>
>>>>[개요]
>>>>
>>>>인터넷 이용자에게 웹 서버 내 모든 디렉토리 및 파일 목록을 보여주고, 파일의 열람 및 저장도 가능하게 하는 취약점
>>>>
>>>>[점검범위]
>>>>
>>>>점검 대상 홈페이지에 디렉토리 리스팅 취약점이 존재하는지 여부를 점검하고, 디렉토리 리스팅 취약점 페이지가 구글엔진에 저장되었지는 여부를 점검한다.
>>>>
>>>>
>>>>[점검방법]
>>>>
>>>>1,구글을 통한 점검방법
>>>>
>>>>구글 사이트에 접속한다.
>>>>고급 검색으로 이동한다.
>>>>도메인 설정 란에는 해당 사이트 주소를 입력하고, 검색창에는 다음을 입력하여   디렉토리 목록이 저장된 페이지를 찾습니다.
>>>>­ 검색어 : intitle:index.of "parent directory"
>>>>­ 검색어 : intitle:index.of name size
>>>> 검색어 : intext:"[부모 디렉터리로 이동]
>>>>검색 결과를 바탕으로 해당 사이트의 디렉토리 노출을 확인.
>>>>
>>>>2,직접점검방법
>>>>
>>>> 해당 웹 사이트의 하위 디렉토리 정보를 사전에 모두 확인한다.
>>>> 웹 루트의 모든 하위 디렉토리에 대해서 웹 브라우저에 해당 주소를 입력해서 디렉토리 노출 여부를 점검한다.
>>>>
>>>>예) http://www.sample.go.kr/ 이란 웹 서버의 웹 루트 밑에 “file”이란 디렉토리가 있다면 웹 브라우저의 URL 주소 입력란에 http://www.sample.go.kr/file/ 이라고 입력한다. 이 때 “file” 디렉토리 하위 내용이 모두 화면에 출력된다면 디렉토리 리스팅 취약점이 존재하는 것이다.(반드시 맨 끝의 ‘/’ 까지 입력) 모든 디렉토리에 대해 디렉토리 리스팅 취약점 존재 여부를 확인한다.
>>>>
>>>>[조치방법]
>>>>
>>>>1,캐쉬에 노출된 경우
>>>>
>>>>  개인정보 취약점 페이지가 구글에 노출된 경우에는 먼저 홈페이지에도 개인정보 취약점 노출이 있는지 여부를 확인하여 홈페이지의 개인정보 취약점을 제거 한 후, 구글 검색 사이트에 해당 캐쉬에 대해 삭제를 요청하는 이메일을 발송하시고.
>>>>    개인정보의 노출 정도가 심각하여 긴급하게 노출을 방지하고자 한다면, 구글의 자동 URL 삭제 시스템을 이용하여, URL이 검색되지 않도록 합니다.
>>>>※구글 자동 URL 삭제 시스템:
>>>>http://services.google.com:8882/urlconsole/controller?cmd=reload&lastcmd=login
>>>>
>>>>2,직접 점검 시 노출의 경우(윈도우)
>>>>
>>>> [제어판]→[관리도구]의 [인터넷 서비스 관리자](혹은 [인터넷 정보 서비스]) 메뉴에서 [기본 웹 사이트]의 마우스 오른쪽 클릭, ‘속성’ 부분을 보면 ‘기본 웹 사이트 등록 정보’가 나온다. 기본 웹 사이트 등록 정보’에서 ‘홈 디렉토리’ 부분을 클릭한 후 ‘디렉토리 검색(B)' 부분의 체크를 해지한다.
>>>>
>>>>3,직접 점검 시 노출의 경우(리눅스/유닉스)
>>>>
>>>> 서버에서 “httpd.conf” 라는 파일을 찾는다. 파일 내용 중 Options 항목 뒤에 Indexes 라는 단어를 지우고 파일을 저장한다. 이 때, Options 는 디렉토리 별로 설정할 수 있게 되어 있으므로 모든 디렉토리에 대해서 Options 항목을 제거한다. 설정을 적용하기 위해 웹 서버 데몬을 다시 띄워준다.
>>>>
>>>>디렉토리리스닝취약점에대해 올려드렸구요
>>>>다음엔 파일다운로드 취약점에관하여 올려드리겠습니다~
>>>>해쿨여러분 행복한하루돼세요~
>>>===============================================================================
>>===============================================================================
>===============================================================================
===============================================================================

  Hit : 6365     Date : 2009/03/15 06:27



    
1520     [re] [잡] 네트워크 TCP     answp
01/01 6302
1519     [re] Linux 에서 APM(apache+php+mysql) 소스로 설치 하기     answp
01/01 6913
1518     [re] 윈도우즈xp 팁(1)     answp
01/01 6752
1517     [re] 앞으로 이어질 글에 대해서.....     answp
01/01 6274
1516     [re] 리눅스 설치하기 - RPM편     answp
01/01 6385
1515     [re] chenkim4의 유명한해커편     answp
01/01 6245
1514     [re] - 재밌는글 설린인터넷고     answp
01/01 6446
1513     [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6821
1512       [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6136
1511         [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 7079
          [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6364
1509             [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 5959
1508             [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6114
1507               [re] [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1[1]     answp
03/15 6580
1506   네트워크1급 자격증대비^^[5]     appleone
02/13 10149
1505   여러선배님들 좀도와주십시오..[2]     appleone
06/29 7193
1504   [리눅스] 너희들 FHS 라고 아니? [1]     arsenalkim
08/30 7912
1503   Unix/Linux 의 파일을 관리하는 자료구조 inode.     arsenalkim
09/26 8757
1502   [펌] 리눅스 페도라 - RCS 이용하기 ; check out/in 파일 수정하고 버전업 하기,     arsenalkim
09/26 6699
1501   [자작] 홈네트워크와 보안(1)[1]     arsenalkim
09/26 6519
[1][2][3] 4 [5][6][7][8][9][10]..[79]

Copyright 1999-2023 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com