O 폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 악의적인 사용자가 이를 악용하여 대상에 대한 정보를 획득하거나 중요 데이터에 접근할 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.724)
☞ OWASP TOP10 2021
O 판단 기준
| 양호 | 불필요한 파일 또는 샘플 페이지가 존재하지 않을 경우 |
| 취약 | 불필요한 파일 또는 샘플 페이지가 존재하는 경우 |
O 점검 방법
- 예측 가능한 디렉터리나 파일명으로 URL 직접 접근 시도
- 개발 시 사용하던 테스트 페이지, 웹 페이지의 디폴트 페이지 및 디렉터리가 존재하는지 확인
O 조치 방법
- # 삭제 필요한 파일 확장자를 참고하여 웹 디렉터리 내 해당 확장자를 가진 백업 파일 삭제
: 백업 파일의 경우 안전한 곳에 정기적으로 백업 ( 웹 서버상에는 운영에 필요한 최소한의 파일만 생성 )
- '*.txt'와 같이 작업 중 생성된 일반 텍스트 파일 및 이미지 파일 등 삭제
- 웹 서버 설정 후 디폴트 페이지, 디폴트 디렉터리 및 배너 삭제
- Apache, IIS, Tomcat 등 각 웹 서버 설정 시, 또는 외부 편집기 등의 소스코드 적용 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션 삭제
- 삭제된 게시물 등 접근이 불필요한 페이지(파일)에 대해 접근할 수 없도록 조치
: 해당 페이지(파일)가 필요할 경우 URL 내 예측 가능한 게시물 번호 사용 제한 또는 URL 직접 접근 차단
: 삭제된 게시물 등 접근이 불필요한 페이지(파일) 삭제
# 삭제 필요한 파일 확장자
| .bak | .backup | .org | .old |
| .zip | .log | .! | .sql |
| .new | .txt | .tmp | .temp |
O 폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 악의적인 사용자가 이를 악용하여 대상에 대한 정보를 획득하거나 중요 데이터에 접근할 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.724)
☞ OWASP TOP10 2021
O 판단 기준
O 점검 방법
- 예측 가능한 디렉터리나 파일명으로 URL 직접 접근 시도
- 개발 시 사용하던 테스트 페이지, 웹 페이지의 디폴트 페이지 및 디렉터리가 존재하는지 확인
O 조치 방법
- # 삭제 필요한 파일 확장자를 참고하여 웹 디렉터리 내 해당 확장자를 가진 백업 파일 삭제
: 백업 파일의 경우 안전한 곳에 정기적으로 백업 ( 웹 서버상에는 운영에 필요한 최소한의 파일만 생성 )
- '*.txt'와 같이 작업 중 생성된 일반 텍스트 파일 및 이미지 파일 등 삭제
- 웹 서버 설정 후 디폴트 페이지, 디폴트 디렉터리 및 배너 삭제
- Apache, IIS, Tomcat 등 각 웹 서버 설정 시, 또는 외부 편집기 등의 소스코드 적용 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션 삭제
- 삭제된 게시물 등 접근이 불필요한 페이지(파일)에 대해 접근할 수 없도록 조치
: 해당 페이지(파일)가 필요할 경우 URL 내 예측 가능한 게시물 번호 사용 제한 또는 URL 직접 접근 차단
: 삭제된 게시물 등 접근이 불필요한 페이지(파일) 삭제
# 삭제 필요한 파일 확장자