반응형
정의
불필요한 정보 노출(Information Disclosure)은 웹 서비스에서 사용자나 시스템에게 노출되어서는 안 되는 정보가 외부에 공개되는 보안 취약점을 의미합니다.
취약점 발생 지점 리스트
- 에러 페이지, http request와 response페이지
취약점 검증 방법
- 에러 페이지, http request와 response 헤더 with burp suite 로 확인했을때, 버전 정보가 보이는지.
- 웹페이지에 주석된 중요정보가 웹페이지 소스에 노출되고 있는지 확인
- 에러 메시지 또는 에러 페이지에서 과도한 정보가 노출되는지 확인
- 인코딩된 중요정보는 디코딩 가능한지 확인
공격법
공격 시나리오
- 에러 메시지를 이용한 정보 노출: 공격자는 에러 메시지에서 디버그 정보나 경로와 같은 민감한 정보를 추출합니다.
- XSS를 이용한 정보 노출: 사용자가 비밀번호 변경 페이지를 자신도 모르는 사이에 접속하게 하여, 이전 비밀번호를 노출시키고 이를 공격자가 습득합니다.
발생 과정
대응방법
- 디버그 및 예외 정보를 상세한 에러 메시지로 반환하지 않도록 설정합니다.
- 에러 핸들링 메커니즘을 구현하여 예외 정보를 사용자에게 노출하지 않도록 합니다.
- 로그 파일에 민감한 정보를 저장하지 않도록 조치합니다.
- 웹 서비스의 디렉토리 구조 및 파일 목록에 대한 접근 권한을 제한합니다.
- 웹 애플리케이션의 설정 파일과 데이터베이스 연결 정보에 대한 보안 조치를 적용합니다.
반응형
'old > Cyber Security' 카테고리의 다른 글
사이버 보안: 불충분한 인증이란? (0) | 2023.09.11 |
---|---|
사이버 보안: 약한 문자열 강도란? (0) | 2023.09.10 |
사이버 보안: 디렉터리 인덱싱이란? (0) | 2023.09.04 |
사이버 보안: LDAP 인젝션이란? (0) | 2023.09.02 |
LDAP 인젝션 치트시트 (0) | 2023.09.01 |