정보 누출 취약점
: 웹 사이트에 중요 정보가 노출되거나 소스코드 주석이나 오류 메시지 등에서 과도한 정보가 노출되는 취약점
사용자 관련 정보 : ID, PW, 주소 등
서버 관련 정보 : 서버 관리자 및 사용자 정보, 서버 버전 정보, 서버 절대 경로, 서버 내부 정보 등
공격자는 해당 취약점을 이용해 2차 공격을 위한 정보로 활용할 수 있다.
[보안 방법]
* 사용자가 주민등록번호 뒷자리, 비밀번호 입력 시 별표 표시하는 등 마스킹 처리를 하여 주변 사람들에게 노출되지 않도록 함
* 웹페이지를 운영 서버에 이관 시 주석은 모두 제거하여 이관
* 중요정보(개인정보, 계정정보, 금융정보 등)를 HTML 소스에 포함하지 않도록 함
* 로그인 실패 시 반환되는 에러 메시지는 특정 ID의 가입 여부를 식별할 수 없게 구현 (예: ‘가입하지 않은 아이디이거나, 잘못된 비밀번호입니다.’)
악성 콘텐츠
: 웹 사이트 게시판, 댓글, 자료실 등에 악성 콘텐츠를 주입하여 실행될 경우 해당 페이지에 접속한 사용자가 악성코드에 감염 및 웹 페이지 변조 등 위험에 노출될 수 있는 취약점
악성콘텐츠는 SQL Injection, XSS, 파일 업로드를 통해 삽입이 가능하여 이 세가지 취약점을 막는 것만으로도 어느정도 보안이 가능하다.
공격자가 서버 내부의 자원을 탈취하거나 변조할 수 있고, 콘텐츠 이용자로 하여금 의도되지 않은 활동을 하게 만들기 때문에 위험도가 높으며, 특히 회사 내부의 PC가 감염되었을 경우 그 PC를 통해 회사 내부의 PC 전체를 감염시키는 경로로 공격을 진행한다면 막대한 피해가 발생할 수도 있다.
(https://rokefoke.tistory.com/51)
[보안 방법]
* 악성 콘텐츠가 삽입되어있는 페이지에 대하여 증거자료(화면, 소스 등)를 남기고, 삽입된 악성 콘텐츠를 삭제하거나 페이지의 삭제 등을 실시함 취득한 증거자료를 가지고 악성 콘텐츠의 삽입 원인에 대하여 분석하여 원인을 제거할 것을 권고함
* 게시판의 글 등록 및 파일 업로드 기능에 Flash 파일이나 avi 동영상 파일, exe 실행 파일 등 악성코드가 포함될 수 있는 콘텐츠를 삽입 또는 업로드 하지 못하게 필터링 적용
* 주기적으로 업로드된 파일을 대상으로 바이러스 검사 실시
'웹 해킹 > 기타 웹 취약점' 카테고리의 다른 글
| [주통기 웹 취약점] 경로 추적, 위치 공개 (0) | 2024.02.26 |
|---|---|
| [주통기 웹 취약점] 프로세스 검증 누락, 관리자 페이지 노출 (0) | 2024.02.26 |
| [주통기 웹 취약점] 자동화 공격 (0) | 2024.02.26 |
| [주통기 웹 취약점] 세션관련 취약점 3가지 | 세션 예측, 불충분한 세션 만료, 세션 고정 (0) | 2024.02.26 |
| [주통기 웹 취약점] 약한 문자열 강도, 취약한 패스워드 복구 (0) | 2024.02.26 |
