보안 취약점 진단 및 조치
KISA에서 제공한 2024 클라우드 진단 가이드 기반
01. 오류 메시지 노출 [시작]
설명 고객사에서 웹 모의해킹을 하다보면 개발용 웹페이지, 관리자 페이지에서 흔하게 볼 수 있는 취약점이다. 디버깅에 편의성을 올리기 위해 오류를 웹 페이지에 출력하는 ...
02. 불필요한 헤더 정보 노출
설명 웹 모의해킹 시 프록시 툴을 사용하여 응답 값을 확인할 때가 많은데 웹서버의 버전 정보가 노출되는 경우가 있다. php 8.3, nginx 1.27 처럼 EOS가...
03. 외부 URL 파일 인클루드 비활성화
설명 개발언어는 보통 다른 파일들을 불러와 사용할 수 있다. 파이썬의 import 혹은 php의 include 등등... 외부에서 만들어 놓은 php 파일을 URL에 ...
04. 불필요한 명령어 사용 제한
설명 웹 페이지 중에 명령어를 입력할 수 있는 칸이 있다면 공격자가 악의적인 명령어를 입력할 수 있으므로 비활성화 해주어야 한다. 단순한 예제로 Command inje...
05. PHP 실행 경로 제한
설명 웹 서비스 진단 시에도 있는 path traversal 취약점 관련 설정이다. http://localhost/home.html 이라는 경로가 존재할 경우, 상위 ...
06. 최신 보안 패치 적용 [마무리]
설명 거의 대부분의 자산 종류에서 마지막을 장식하는 항목 EOS를 확인하여 보안패치를 지원하고 있는 버전인지 확인을 한다. 딴소리 단순히 서버 업데이트만 하면 조치...