[웹취약점 개선] 위치공개 - 삭제해야할 파일 확장자 > 기술자료

• 목록

관공서 홈페이지의 보안강화 요청 내용중 "위치공개"의 보안 취약점을 개선하라는 연락이 왔습니다.


1. 취약점 개요
폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보를 획득하고 민감한 데이터에 접근 가능


2. 개선방향
. 웹 디렉터리를 조사하여 [표. 삭제해야 할 파일 확장자]에 포함된 백업 파일을 모두 삭제하고, *.txt 같이 작업 중 생성된 일반 텍스트 파일이나 이미지 파일 등도 제거함
. 백업 파일은 백업 계획을 수립하여 안전한 곳에 정기적으로 백업해야 하며 웹 서버 상에는 운영에 필요한 최소한의 파일만을 생성하여야 함
. 웹 서버 설정 후 디폴트 페이지와 디폴트 디렉터리 및 Banner를 삭제하여 Banner Grab에 의한 시스템 정보 유출을 차단함
. Apache, IIS, Tomcat 등 각 웹 서버 설정 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션을 삭제하여 보안 위험을 최소화 함


3. 삭제해야 할 파일 확장자 예시
*.back
*.backup
*.org
*.old
*.lo
*.!
*.sql
*.new
*.tmp
*.temp
*.zip
*.txt


4. 개선방법
ssh 쉘에서 find 명령어를 이용해서 파일의 존재여부를 확인하고, 삭제여부를 판단합니다.
# find . -name "*.back"
# find . -name "*.backup"
# find . -name "*.org"
# find . -name "*.old"
# find . -name "*.new"
# find . -name "*.tmp"
# find . -name "*.temp"
# find . -name "*..!"
# find . -name "*.sql"
# find . -name "*.zip"
# find . -name "*.txt"


5. 개선결과 보고
아래 확장자 파일이 존재하지 않습니다.
*.back
*.backup
*.org
*.old
*.lo
*.!
*.sql
*.new
*.tmp
*.temp

아래 확장자 파일은 게시판 자료실의 첨부파일 등으로 사용하므로 삭제할 수 없습니다.
*.zip

아래 확장자 파일은 HTMLPurifier 기능을 위한 데이타 파일 등으로 사용하므로 삭제할 수 없습니다.
*.txt