1580, 77/79 회원가입  로그인  
   answp
   http://a
   [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1210 [복사]


===============================================================================

>===============================================================================
>
>>===============================================================================
>>
>>>===============================================================================
>>>
>>>>===============================================================================
>>>>
>>>>>1. 디렉토리 리스팅 취약점
>>>>>
>>>>>[개요]
>>>>>
>>>>>인터넷 이용자에게 웹 서버 내 모든 디렉토리 및 파일 목록을 보여주고, 파일의 열람 및 저장도 가능하게 하는 취약점
>>>>>
>>>>>[점검범위]
>>>>>
>>>>>점검 대상 홈페이지에 디렉토리 리스팅 취약점이 존재하는지 여부를 점검하고, 디렉토리 리스팅 취약점 페이지가 구글엔진에 저장되었지는 여부를 점검한다.
>>>>>
>>>>>
>>>>>[점검방법]
>>>>>
>>>>>1,구글을 통한 점검방법
>>>>>
>>>>>구글 사이트에 접속한다.
>>>>>고급 검색으로 이동한다.
>>>>>도메인 설정 란에는 해당 사이트 주소를 입력하고, 검색창에는 다음을 입력하여   디렉토리 목록이 저장된 페이지를 찾습니다.
>>>>>­ 검색어 : intitle:index.of "parent directory"
>>>>>­ 검색어 : intitle:index.of name size
>>>>> 검색어 : intext:"[부모 디렉터리로 이동]
>>>>>검색 결과를 바탕으로 해당 사이트의 디렉토리 노출을 확인.
>>>>>
>>>>>2,직접점검방법
>>>>>
>>>>> 해당 웹 사이트의 하위 디렉토리 정보를 사전에 모두 확인한다.
>>>>> 웹 루트의 모든 하위 디렉토리에 대해서 웹 브라우저에 해당 주소를 입력해서 디렉토리 노출 여부를 점검한다.
>>>>>
>>>>>예) http://www.sample.go.kr/ 이란 웹 서버의 웹 루트 밑에 “file”이란 디렉토리가 있다면 웹 브라우저의 URL 주소 입력란에 http://www.sample.go.kr/file/ 이라고 입력한다. 이 때 “file” 디렉토리 하위 내용이 모두 화면에 출력된다면 디렉토리 리스팅 취약점이 존재하는 것이다.(반드시 맨 끝의 ‘/’ 까지 입력) 모든 디렉토리에 대해 디렉토리 리스팅 취약점 존재 여부를 확인한다.
>>>>>
>>>>>[조치방법]
>>>>>
>>>>>1,캐쉬에 노출된 경우
>>>>>
>>>>>  개인정보 취약점 페이지가 구글에 노출된 경우에는 먼저 홈페이지에도 개인정보 취약점 노출이 있는지 여부를 확인하여 홈페이지의 개인정보 취약점을 제거 한 후, 구글 검색 사이트에 해당 캐쉬에 대해 삭제를 요청하는 이메일을 발송하시고.
>>>>>    개인정보의 노출 정도가 심각하여 긴급하게 노출을 방지하고자 한다면, 구글의 자동 URL 삭제 시스템을 이용하여, URL이 검색되지 않도록 합니다.
>>>>>※구글 자동 URL 삭제 시스템:
>>>>>http://services.google.com:8882/urlconsole/controller?cmd=reload&lastcmd=login
>>>>>
>>>>>2,직접 점검 시 노출의 경우(윈도우)
>>>>>
>>>>> [제어판]→[관리도구]의 [인터넷 서비스 관리자](혹은 [인터넷 정보 서비스]) 메뉴에서 [기본 웹 사이트]의 마우스 오른쪽 클릭, ‘속성’ 부분을 보면 ‘기본 웹 사이트 등록 정보’가 나온다. 기본 웹 사이트 등록 정보’에서 ‘홈 디렉토리’ 부분을 클릭한 후 ‘디렉토리 검색(B)' 부분의 체크를 해지한다.
>>>>>
>>>>>3,직접 점검 시 노출의 경우(리눅스/유닉스)
>>>>>
>>>>> 서버에서 “httpd.conf” 라는 파일을 찾는다. 파일 내용 중 Options 항목 뒤에 Indexes 라는 단어를 지우고 파일을 저장한다. 이 때, Options 는 디렉토리 별로 설정할 수 있게 되어 있으므로 모든 디렉토리에 대해서 Options 항목을 제거한다. 설정을 적용하기 위해 웹 서버 데몬을 다시 띄워준다.
>>>>>
>>>>>디렉토리리스닝취약점에대해 올려드렸구요
>>>>>다음엔 파일다운로드 취약점에관하여 올려드리겠습니다~
>>>>>해쿨여러분 행복한하루돼세요~
>>>>===============================================================================
>>>===============================================================================
>>===============================================================================
>===============================================================================
===============================================================================

  Hit : 5961     Date : 2009/03/15 06:27



    
60     [re] 리눅스 설치하기 - RPM편     answp
01/01 6385
59     [re] chenkim4의 유명한해커편     answp
01/01 6245
58     [re] - 재밌는글 설린인터넷고     answp
01/01 6446
57     [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6822
56       [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6137
55         [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 7080
54           [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6365
            [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 5960
52             [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1     answp
03/15 6114
51               [re] [re] [re] [re] [re] [re] 홈페이지 취약점 점검 및 조치방법#1[1]     answp
03/15 6581
50   서울, 경기 해킹 스터디원 모집합니다.[5]     Angeldust12
11/19 8595
49   dump 커맨드의 작성[c언어]     amikhs
04/25 6874
48   ARP스푸핑과 ARP캐시 포이즈닝의 차이점     alscjf7612
07/17 8931
47   잘 부탁드립니다.     alscjf7612
07/17 6903
46   잘부탁드려요~~     alscjf7612
07/17 6831
45   프로그래밍을 공부하실때     alscjf7612
06/06 8660
44   레벨업     alscjf7612
06/06 7622
43   arp스푸핑에 관해[1]     alscjf7612
07/17 7829
42   힌트[10]     akwjs566
03/31 5893
41   바이러스 만들기[8]     akwjs566
03/31 8829
[1]..[71][72][73][74][75][76] 77 [78][79]

Copyright 1999-2023 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com