불필요 정보노출 취약점

불필요 정보노출 취약점

"불필요 정보누출 취약점"이란 말 그대로 웹 사이트의 민감한 정보가 노출되는 것으로 개발 과정의 코멘트(소스 내 주석)나 에러 메시지 등에서 의도하지 않게 정보가 노출되는 취약점을 뜻 합니다.

 

 

판단기준

1. 에러 페이지에 웹 서버 및 WAS 버전정보, 절대경로, 에러메시지가 노출
2. HTML 소스보기에서 주석 형태로 남아있는 테스트용 아이디/패스워드, 관리자 페이지 URL 정보가 존재하는 경우

3. HTTP 헤더를 통한 서버정보 노출

위와 같은 기준으로 판단할 수 있습니다.

 

 

실제 존재하는 페이지에서 어플리케이션명을 없애고 폴더명만 기재 후 접속 해보고, 어플리케이션명에 1을 적고 접속해보면 403, 404에러를 통해 페이지 존재여부 확인이 가능합니다.

Ex) http://www.~~~~.com/service/

Ex) http://www.~~~~.com/service/1

 

 

참고

웹 개발 시 소스코드의 백업 파일을 남기도록 설정을 하거나, 전체의 소스코드를 백업하기 위해 압축하는 경우가 있습니다. 이렇게 생성된 .bak, .zip확장자를 가진 파일을 소스코드가 있는 폴더에 그대로 두면 아래와 같이 공격자가 .bak파일이나 .zip파일을 다운로드 받을 수 있습니다.