Always-Try(정보보안 및 일상)

디렉터리 리스팅 취약점 더보기 1. 개요 인덱싱(리스팅) 기능이 활성화가 되어 있을 경우, 공격자가 강제 브라우징을 통해 서버 내의 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 디렉터리 인덱싱 기능 제거 Options Indexes (취약) -> Options None (안전) (윈도우 IIS) 사이트 등록 정보 > 홈 디렉터리 > 디렉터리 검색 기능 해제 웹 서비스 메소드 설정 취약점 더보기 1. 개요 GET, PUT 이외에 DELETE 등 불필요한 메소드를 허용 했을 때, 공격자가 이를 이용하여 파일 생성 및 삭제를 하는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 불필요한 메소드 사용 제한 Order allow, de..

최심차 (최소권한, 심볼릭 링크 제거, 웹서버 정보 차단) 더보기 참고) 아래 설정은 모두 httpd.conf에서 한다 1. 웹 서비스 최소 권한 사용자 운영 User apache Group apache 2. 심볼릭 링크 사용 설정 제거 취약한 설정 Options FollowSymLinks 안전한 설정 (심볼릭 링크 사용 설정 제거) Options None 3. 웹 서버 응답 헤더 또는 에러메시지를 통한 웹서버 정보 차단 ServerSignature 지시자를 On으로 하면, ServerTokens 설정 값에 따라 다양한 웹 서버 정보를 제공함 Prod (웹 서버 종류 / 권장) Apache Min (Prod 정보 + 웹 서버 버전) Apache/2.2.15 OS (Min 정보 + 운영체제) Apache/..