O 검색엔진(구글, 네이버 등)을 통해 웹 서비스의 중요 정보 및 페이지가 수집되어 외부 비인가자에게 노출되는 취약점
O 근거 자료
☞ 전자금융기반시설 보안 취약점 분석 평가기준
☞ KISA 홈페이지 개인정보 노출방지 안내서(p.92)
O 판단 기준
양호 | 검색엔진에서 사이트 검색 시 비인가 페이지 노출이 되지 않는 경우 |
취약 | 검색엔진에서 사이트 검색 시 비인가 페이지가 노출되는 경우 |
O 점검 방법
- robots.txt 파일 내 비인가 디렉터리가 노출되는지 확인
- 검색엔진에서 여러가지 검색 기법을 통해 웹 서비스 내 비인가 페이지가 노출되는지 확인
- Google EC (구글 검색엔진 정보노출 점검 개발 도구)를 사용하여 도출된 결과에서 노출된 정보 확인
O 조치 방법
- 웹 서비스 내 robots.txt 파일의 설정을 변경하여 검색 엔진 제어 또는 비인가 디렉터리 및 페이지 노출 차단
- 검색엔진에 노출된 중요정보를 완전히 삭제 처리되도록 검색사이트에 요청
O 시큐어 코딩(Secure Coding) 예시
# 메타 태그 적용을 통해 노출 방지 ▶
- 웹 페이지 소스코드 파일의 <HEAD> 태그 내 '메타 태그 적용 예시'와 같이 적용하여 검색 엔진 인덱싱 차단
# robots.txt ▶
- 사이트 전체가 모든 검색엔진에 노출 제한
User-agent: *
Disallow: /
- 사이트 전체가 모든 검색엔진에 노출
User-agent: *
Disallow:
- 사이트 디렉터리의 일부만 모든 검색엔진에 노출
User-agent: *
Disallow: /board/
Disallow: /image/
- 사이트 전체가 특정 검색엔진에만 노출 제한
※ Yeti : 네이버 로봇 명칭
User-agent: Yeti
Disallow: /
- 사이트 전체가 특정 검색엔진에만 노출
※ Yeti : 네이버 로봇 명칭
User-agent: Yeti
Disallow:
User-agent: *
Disallow:/
# 메타 태그 ▶
- 어떤 로봇도 사이트의 페이지에 대한 색인 생성 방지
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
- Google 로봇을 제외한 사이트의 페이지에 대해 색인 생성 방지
<META NAME="Googlebot" CONTENT="NOINDEX, NOFOLLOW">
- 로봇을 통해 사이트의 페이지에 대해 색인 생성, 외부와 연결된 링크 이동 제한
<META NAME="ROBOTS" CONTENT="NOFOLLOW">
- 로봇을 통해 사이트 페이지에 대해 색인 생성, 해당 페이지 이미지 색인 생성 제한
<META NAME="ROBOTS" CONTENT="NOIMAGEINDEX">
O 검색엔진(구글, 네이버 등)을 통해 웹 서비스의 중요 정보 및 페이지가 수집되어 외부 비인가자에게 노출되는 취약점
O 근거 자료
☞ 전자금융기반시설 보안 취약점 분석 평가기준
☞ KISA 홈페이지 개인정보 노출방지 안내서(p.92)
O 판단 기준
O 점검 방법
- robots.txt 파일 내 비인가 디렉터리가 노출되는지 확인
- 검색엔진에서 여러가지 검색 기법을 통해 웹 서비스 내 비인가 페이지가 노출되는지 확인
- Google EC (구글 검색엔진 정보노출 점검 개발 도구)를 사용하여 도출된 결과에서 노출된 정보 확인
O 조치 방법
- 웹 서비스 내 robots.txt 파일의 설정을 변경하여 검색 엔진 제어 또는 비인가 디렉터리 및 페이지 노출 차단
- 검색엔진에 노출된 중요정보를 완전히 삭제 처리되도록 검색사이트에 요청
O 시큐어 코딩(Secure Coding) 예시
# 메타 태그 적용을 통해 노출 방지 ▶
- 웹 페이지 소스코드 파일의 <HEAD> 태그 내 '메타 태그 적용 예시'와 같이 적용하여 검색 엔진 인덱싱 차단
# robots.txt ▶
- 사이트 전체가 모든 검색엔진에 노출 제한
- 사이트 전체가 모든 검색엔진에 노출
- 사이트 디렉터리의 일부만 모든 검색엔진에 노출
- 사이트 전체가 특정 검색엔진에만 노출 제한
- 사이트 전체가 특정 검색엔진에만 노출
# 메타 태그 ▶
- 어떤 로봇도 사이트의 페이지에 대한 색인 생성 방지
- Google 로봇을 제외한 사이트의 페이지에 대해 색인 생성 방지
- 로봇을 통해 사이트의 페이지에 대해 색인 생성, 외부와 연결된 링크 이동 제한
- 로봇을 통해 사이트 페이지에 대해 색인 생성, 해당 페이지 이미지 색인 생성 제한