[ 정보보안기사 / 정보보안산업기사 ]
디렉터리 인덱싱
1. 디렉터리 인덱싱
웹 서버의 취약한 설정으로 인해 브라우저 상에서 디렉터리나 파일이 노출 되는 취약점
2. 디렉터리 인덱싱 실습
http://testphp.vulnweb.com/ 홈페이지 접속
② URL 끝에 /admin 입력 -> http://testphp.vulnweb.com/admin
③ 실제 홈페이지가 나오지않고 admin 디렉터리의 create.sql 파일목록을 볼 수 있다.
3. 디렉터리 인덱싱 방어기법
cd /etc/apache2
② cat apache2.conf
③ Options Indexes => Options -Indexes
/etc/apache2/apache2.conf 파일에서 Options 지시자의 Indexes 설정을 - 한다.
문제) 다음공격에 대해 물음에 답하시오
요청 : GET / ~http://testphp.vulnweb.com/admin~ /
응답 : HTTP/1.1 200 ok ~
(1) 이 공격은 무슨 공격인가?
(2) 해당 공격이라고 생각하는 근거는?
(3) 이 공격에 대한 방어 기법은?
답)
1. 디렉터리 인덱싱
2. 응답값이 HTTP 200 OK
3. httpd.conf 파일의 Options 지시자의 Indexes 설정을 -한다.
'[자격증] 정보보안기사 > ↘ 정보보안 실무' 카테고리의 다른 글
| [ 정보보안기사 / 정보보안산업기사 ] 파일 업로드 취약점 (0) | 2020.06.04 |
|---|---|
| [ 정보보안기사 / 정보보안산업기사 ] 침입탐지시스템 / 침입방지시스템 (IDS / IPS) (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] 로봇 배제 표준 (robots.txt) (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] ARP 프로토콜 (0) | 2020.06.04 |
| [ 정보보안기사 / 정보보안산업기사 ] IPSec (0) | 2020.06.03 |
댓글