'디렉토리 리스팅'에 해당되는 글 1건

  1. 2010.11.05 Directory Listing (디렉토리 리스팅) (14)

Directory Listing 취약점은 취약한 서버설정으로 발생하는 취약점으로 브라우징하는 모든 파일들을 보여줍니다. 대부분의 경우 디렉토리 목록을 보여준다 해도 보안과 연결되지는 않지만 파일 저장 및 열람이 가능하다면 이야기가 달라집니다. 백업파일 및 소스코드, 스크립트 파일의 유출로 인한 계정정보 유출과 다양한 정보를 공격자에게 제공하게 됨으로 제2, 제3의 공격에 이용될 수도 있습니다.

Directory Listing 문제점



학교, 학원, 회사 음식점, 개인홈페이지 등.. 아직도 수 많은 싸이트에 Directory Listing 취약점이 존재합니다.
이로인해 악의적인 목적을 갖고 있는 사람들에게 많은 정보를 내주게 됩니다.
간단한 구글링으로 해당 취약점을 가지고 있는 싸이트의 조회가 가능하고 특별한 기술 없이도
해당 사이트의 디렉토리를 오가며 원하는 자료를 다운받을 수 있기 때문에 문제가 됩니다.
간단한 구글링 만으로도 다양한 사이트에서 이력서 혹은 개인 발표자료, 특허 관련문서 등.. 
손쉽게 노출되었으며 다운로드가 가능했습니다.

이런 파일 다운로드로 인한 피해 외에도 해당 디렉토리 파일이 어떠한 동작을 하는지
다운받아 분석 할 수 있으며 파일 업로드 공격을 이용하여 악성코드 및 바이러스를 유포할 수 있습니다.

또한 관리목적의 파일을 이용 해당 게시물 삭제, 수정 등의 변조가 가능합니다.

Directory Listing 공격패턴

디렉토리 추측

가장 많이 사용되는 패턴으로 url의 파일명을 제하고 입력하는 경우입니다.

 http://Cxxxx.com/images/open.gif   ㅡ> http://cxxxx.com/images/

http://Cxxxx.com/bbs/component/contents.htm?qflag=301 ㅡ> http://Cxxxx.com/bbs/component/

일반적으로 많이 사용되는 디렉토리명 무작위 대입

http://Cxxxx.com/admin/
http://Cxxxx.com/test/

자동화툴을 사용하는 방법

위와 같은 자동화툴은 이미 2년전 보안 테스트용으로 많이 보급되었기 때문에 반대로 악용 당할 수 있습니다.

서버설정 수정하기

윈도우 기반

제어판 - 관리도구 - 인터넷 정보 서비스 IIS관리
메뉴 - 인터넷 정보 서비스  - 웹사이트 설정할 사이트의 우클릭 
속성 - 기본웹사이트 등록정보 - 홈 디렉토리 검색부분 체크해제



리눅스/유닉스

웹서버 주 환경설정 파일인 httpd.conf 파일에서
indexes 구문을 지우고 저장

옵션 항목은 디렉토리 별 설정이 가능하기 때문에
모든 디렉토리에 대해서 indexes 제거


구글에 노출된 경우에는 검색페이지 삭제요청 페이지를 이용하여 삭제요청 하시면 됩니다.


국내 호스팅 사용하시는 분들은 화사에 이메일 또는 전화로 요청하시면
페이지를 외부에서 볼 수 없도록 설정해준다고 합니다.

해외 웹호스팅을 사용하시는 경우에는

 hostexcellence  Web options → 도메인을 클릭 -> Settings 메뉴에서  
 Indexes 설정을 Disabled로 체크 후 저장
 BlueHost 혹은 Host Gator  index-manager에서 보호할 폴더에 체크


신고

주소보기

댓글을 달아 주세요

  1. *아루마루* 2010.11.05 10:53 신고  댓글주소  수정/삭제  댓글쓰기

    저렇게 디렉토리 리스트 나오는거에 대해 아무생각을
    하지 않았는데, 포스팅을 읽고보니 저런것도 문제가
    될수 있겠네요...

    좋은 정보 잘 보고 갑니다...^^

  2. 백전백승 2010.11.05 11:07 신고  댓글주소  수정/삭제  댓글쓰기

    저런 약점을 통해서 들어오는군요. 전에는 디렉토리가 나오면 '나오는구나'하고 넘어갔거든요,

  3. 카타리나^^ 2010.11.05 11:08 신고  댓글주소  수정/삭제  댓글쓰기

    흑...뭔 뭔말인지를 모르겠어요
    힝...어려워 어려워 ㅎㅎ

  4. DDing 2010.11.05 12:36 신고  댓글주소  수정/삭제  댓글쓰기

    역시 개인 사이트를 운영하는 건 쉬운 일이 아니네요.
    예전엔 막무가내로 운영해 봤지만 지금은 엄두가 안나요. ^^

  5. LiveREX 2010.11.05 13:41 신고  댓글주소  수정/삭제  댓글쓰기

    그냥 저냥 넘어갔던 부분인데 새롭게 잘 알고 갑니다 ^^

  6. 새라새 2010.11.05 14:19 신고  댓글주소  수정/삭제  댓글쓰기

    역시 저는 컴맹에 가까운가 보네요..좀 어렵다는...
    시간날때 다시한번 읽어 봐야 겠어요 ㅋㅋ 필요할때가 있겠지요^^

  7. Houstoun 2010.11.05 14:34 신고  댓글주소  수정/삭제  댓글쓰기

    저도 이해가 확실히 안되기는 하지만
    뭔가 우리가 꼭 알아야 할 것 같으니 좀 더
    공부해야 할 것 같네요.
    일단 좋은 정보 다시 한 번 감사합니다. ^^

  8. 티비의 세상구경 2010.11.05 14:57 신고  댓글주소  수정/삭제  댓글쓰기

    개인사이트를 이용하시는분들이면 보안문제때문에
    신경쓸일이 참 많을것 같다는 생각이드네요 ^^;

  9. kpopgirl 2010.11.05 16:14 신고  댓글주소  수정/삭제  댓글쓰기

    저도 사실 뭔말인지는 잘 모르겠지만, 암튼 리틴님이 하라는 대로 따라하렵니다. ^^;;

  10. Boan 2010.11.05 17:18 신고  댓글주소  수정/삭제  댓글쓰기

    리틴님 잘 정리해주셔서 감사합니다.
    이런거 정리해서 글 쓰기가 참 어려운데 잘 정리해주셨네요.
    즐거운 주말되세요.

  11. 2010.11.05 21:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  12. No.190 2010.11.11 08:29 신고  댓글주소  수정/삭제  댓글쓰기

    아! 감사합니다. 어떻게 할줄 몰랐는데.. 설정도 간단하군요!
    글 잘읽었습니다!

  13. 인쇄쟁이 2010.11.19 05:07 신고  댓글주소  수정/삭제  댓글쓰기

    음.. 정말 전문가군^^;

  14. ㅁㄷ 2016.10.23 09:58  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다



티스토리 툴바