Always-Try(정보보안 및 일상)

디렉터리 리스팅 취약점 더보기 1. 개요 인덱싱(리스팅) 기능이 활성화가 되어 있을 경우, 공격자가 강제 브라우징을 통해 서버 내의 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 디렉터리 인덱싱 기능 제거 Options Indexes (취약) -> Options None (안전) (윈도우 IIS) 사이트 등록 정보 > 홈 디렉터리 > 디렉터리 검색 기능 해제 웹 서비스 메소드 설정 취약점 더보기 1. 개요 GET, PUT 이외에 DELETE 등 불필요한 메소드를 허용 했을 때, 공격자가 이를 이용하여 파일 생성 및 삭제를 하는 취약점 2. 대응 방법 (리눅스 아파치) httpd.conf에서 불필요한 메소드 사용 제한 Order allow, de..

최심차 (최소권한, 심볼릭 링크 제거, 웹서버 정보 차단) 더보기 참고) 아래 설정은 모두 httpd.conf에서 한다 1. 웹 서비스 최소 권한 사용자 운영 User apache Group apache 2. 심볼릭 링크 사용 설정 제거 취약한 설정 Options FollowSymLinks 안전한 설정 (심볼릭 링크 사용 설정 제거) Options None 3. 웹 서버 응답 헤더 또는 에러메시지를 통한 웹서버 정보 차단 ServerSignature 지시자를 On으로 하면, ServerTokens 설정 값에 따라 다양한 웹 서버 정보를 제공함 Prod (웹 서버 종류 / 권장) Apache Min (Prod 정보 + 웹 서버 버전) Apache/2.2.15 OS (Min 정보 + 운영체제) Apache/..

robots.txt 더보기 1. 개요 검색로봇에 대한 검색 조건 및 접근 제한 설정 파일 반드시 웹 사이트의 최상위 주소에 저장해야 됨(하위 디렉터리에 저장할 경우 효력 X) 2. 설정 예시 User-agent: * Disallow: / 모든 검색로봇에 대해 웹사이트 접근 차단 User-agent: Googlebot User-agent: Yeti Disallow: (또는 Allow: /) Googlebot, Yeti에 대해 전체 허용 User-agent: * Disallow: /cgi-bin/ Disallow: /private/ 모든 검색로봇에 대해 /cgi-bin, /private 디렉터리 접근 차단 (/ / 형태는 디렉터리) User-agent: Yeti Disallow: /private/privat..

이글루시큐리티 보안 정보 http://www.igloosec.co.kr/BLOG?bbsCateId=17 EST시큐리티 전문가 기고 https://blog.alyac.co.kr/category/%EC%A0%84%EB%AC%B8%EA%B0%80%20%EA%B8%B0%EA%B3%A0 보호나라 보고서 https://www.boho.or.kr/data/reportList.do 보호나라 취약점 정보 https://www.boho.or.kr/data/secInfoList.do KISA 입찰 공고 https://kisa.or.kr/notice/bid_List.jsp