사이버 보안: 정보 누출이란?

정의

불필요한 정보 노출(Information Disclosure)은 웹 서비스에서 사용자나 시스템에게 노출되어서는 안 되는 정보가 외부에 공개되는 보안 취약점을 의미합니다.

취약점 발생 지점 리스트

• 에러 페이지, http request와 response페이지

취약점 검증 방법

• 에러 페이지, http request와 response 헤더 with burp suite 로 확인했을때, 버전 정보가 보이는지.
• 웹페이지에 주석된 중요정보가 웹페이지 소스에 노출되고 있는지 확인
• 에러 메시지 또는 에러 페이지에서 과도한 정보가 노출되는지 확인
• 인코딩된 중요정보는 디코딩 가능한지 확인

공격법

공격 시나리오

1. 에러 메시지를 이용한 정보 노출: 공격자는 에러 메시지에서 디버그 정보나 경로와 같은 민감한 정보를 추출합니다.
2. XSS를 이용한 정보 노출: 사용자가 비밀번호 변경 페이지를 자신도 모르는 사이에 접속하게 하여, 이전 비밀번호를 노출시키고 이를 공격자가 습득합니다.

발생 과정

대응방법

1. 디버그 및 예외 정보를 상세한 에러 메시지로 반환하지 않도록 설정합니다.
2. 에러 핸들링 메커니즘을 구현하여 예외 정보를 사용자에게 노출하지 않도록 합니다.
3. 로그 파일에 민감한 정보를 저장하지 않도록 조치합니다.
4. 웹 서비스의 디렉토리 구조 및 파일 목록에 대한 접근 권한을 제한합니다.
5. 웹 애플리케이션의 설정 파일과 데이터베이스 연결 정보에 대한 보안 조치를 적용합니다.