특징

  • 웹 루트 하위에 내부 문서 또는 백업 파일, 로그 파일, 압축 파일 등과 같이 불필요한 파일들이 존재할 경우 파일명을 유추하여 파일명을 알아내고 직접 요청하여 여러 정보가 노출 될 수 있는 취약점
  • 백업 및 임시 파일을 공격자가 획득하고 분석해 웹 애플리케이션 내부 로직 또는 DB정보, 액세스 정보 등을 획득하여 추가적인 피해를 발생시킬 수 있는 취약점
  • 고객사와 취약한 파일에 대한 범위를 설정하여 해당파일을 탐지 해야함

접근방법

삭제해야 할 파일 확장자

.bak .backup .org .old
.zip .log .! .sql
.new .txt .tmp .temp

  • 구글에 backup 파일 키워드로 검색한 결과

  • 손쉽게 백업파일 웹서버로 접속이 가능

대응방안

  • 웹 서버의 개발 환경과 운영 환경을 분리하고 운영 환경에서는 소스 코드 수정 및 테스트 목적의 임시 파일 생성 자제
  • 디렉터리에 존재하는 기본 설치 파일 및 임시 파일, 백업 파일을 조사하고 접근 제한을 통해 해당 파일에 접근 제한 및 삭제

'CERT' 카테고리의 다른 글

웹취약점: 파일 다운로드 취약점  (0) 2024.08.16
웹취약점: 전송 시 주요정보 노출 취약점  (2) 2024.08.15
웹취약점: 불필요한 Method 허용 취약점  (0) 2024.08.13
웹취약점: 시스템 관리 취약점  (0) 2024.08.13
웹취약점: 디렉터리 나열 취약점  (0) 2024.08.13

+ Recent posts

티스토리툴바