관리자 페이지 노출 취약점
취약점 설명
- 일반 사용자에게 관리자 페이지를 노출시켜 관리자 페이지에 접근 할 수 있는 취약점
대응 방안
- URL에 admin, master 등이 들어가지 않도록 설정
- 관리자 페이지에 누군가 접근을 시도 할 경우, URL만으로 접근하지 못하게 하거나 로그인 되어 있지 않은 경우 접근이 불가능하게 페이지 설정
- 로그인 권한이나 웹 페이지 접근 권한을 설정해 인증을 할 경우에만 접근이 가능하게 한다.
디렉토리 리스팅 취약점
취약점 설명
- 취약한 웹 서버 설정으로 인해 인덱싱 기능이 활성화 되어, 서버 내 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
대응 방안
- URL 경로 중 확인 하고자 하는 디렉토리까지만 주소 창에 입력하여 인덱싱 여부를 확인
- 디렉토리 끝에 %3f.jsp 문자열을 붙여 디렉토리 인덱싱이 되는지 확인
보안 설정 방법 (Apache, IIS 7.0)
- Apache : 웹 서버 환결설정에서 디렉토리 인덱싱 기능 제거
- IIS 7.0 : 설정 > 제어판 > 관리도구 > "인터넷 서비스 관리자" 선택 후 해당 웹 사이트에서 우클릭 후 등록 정보 > [홈 디렉토리] 탭 > [디렉토리 검색] 체크 해제
시스템 관리 취약점
취약점 설명
- 개발 시 사용한 테스트 파일, 응용 프로그램 설치 중에 생성되는 설치 파일 및 임시 파일을 삭제하지 않아서 발생하는 취약점
- 시스템 설정에 관련된 취약점이기에 범위가 방대하며 응용 프로그램 별로 기본 설정 경로가 상이하기 때문에 각 환경에 맞는 방식이 필요함
대응 방안
- 웹 서버 소스상 잘못된 설정 혹은 시스템 보안 설정이 미비한지 점검을 통해 알맞게 설정
- 웹 서버에 응용 프로그램 설치 시 임시 생성되는 파일은 설치 완료 시 즉시 삭제
- 정기적으로 웹 서버의 불필요한 파일을 검색해 제거
불필요한 Method 허용 취약점
취약점 설명
- 웹 서비스 제공 시 불필요한 Method 허용으로 공격자에 의해 악성 파일을 업로드하거나 중요 파일 삭제가 가능해지는 취약점
Method 별 설명
- 기본적으로 권고하기를 GET, POST를 제외한 기타 Method를 비활성화하는 것을 권고
대응 방안
- 인프라 및 네트워크 구성상에 적용되어 있는 보안장비와 그 인프라를 구성하고 있는 시스템에 대해 일관된 보안 정책을 반영해야 한다.
- DELETE, PUT Method 차단이 불가능한 경우 사용자 별로 권한을 부여해 특정 권한을 가진 인가된 사용자의 Method 요청에 대해서만 응답하고 표준인증방식을 통해 사용자 별로 권한을 부여하여 관리할 수 있다.