12. 불필요한 페이지 노출

O 폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 악의적인 사용자가 이를 악용하여 대상에 대한 정보를 획득하거나 중요 데이터에 접근할 수 있는 취약점


O 근거 자료

주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.724)

OWASP TOP10 2021


O 판단 기준 

양호불필요한 파일 또는 샘플 페이지가 존재하지 않을 경우
취약불필요한 파일 또는 샘플 페이지가 존재하는 경우


O 점검 방법

예측 가능한 디렉터리나 파일명으로 URL 직접 접근 시도

- 개발 시 사용하던 테스트 페이지, 웹 페이지의 디폴트 페이지 및 디렉터리가 존재하는지 확인


O 조치 방법

# 삭제 필요한 파일 확장자를 참고하여 웹 디렉터리 내 해당 확장자를 가진 백업 파일 삭제

: 백업 파일의 경우 안전한 곳에 정기적으로 백업 ( 웹 서버상에는 운영에 필요한 최소한의 파일만 생성 )

- '*.txt'와 같이 작업 중 생성된 일반 텍스트 파일 및 이미지 파일 등 삭제

- 웹 서버 설정 후 디폴트 페이지, 디폴트 디렉터리 및 배너 삭제

- Apache, IIS, Tomcat 등 각 웹 서버 설정 시, 또는 외부 편집기 등의 소스코드 적용 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션 삭제

삭제된 게시물 등 접근이 불필요한 페이지(파일)에 대해 접근할 수 없도록 조치

: 해당 페이지(파일)가 필요할 경우 URL 내 예측 가능한 게시물 번호 사용 제한 또는 URL 직접 접근 차단

: 삭제된 게시물 등 접근이 불필요한 페이지(파일) 삭제

# 삭제 필요한 파일 확장자

.bak.backup.org.old
.zip.log.!.sql
.new.txt.tmp.temp