주의사항 : 이 포스팅은 개인 학습 및 교육적 목적으로 작성되었으며, 제공하는 정보를 악용하여 불법적인 행위를 하는 것은 엄격히 금지되어 있습니다. 웹 취약점 진단은 해당 웹사이트의 소유자의 명시적인 허가 없이는 수행해서는 안되며, 웹 취약점을 발견하였을 경우 즉시 해당 웹사이트의 소유자나 관리자에게 알려야 합니다.
정보 누출
: 웹 사이트의 민감한 정보가 노출되는 것으로 웹 페이지(html) 소스나 개발 과정의 주석 코멘트, 에러 메세지 등에서 의도하지 않게 정보가 노출되는 취약점이다. 에러 메시지에서 웹 사이트의 민감한 정보(소스 코드 내 계정 및 비밀번호, 애플리케이션 정보, DB 정보, 웹 서버 구성 정보, 개발 과정의 코멘트 등)가 노출될 수 있다.
점검 절차
- 웹 페이지(html) 소스에 개인정보, 인증정보, DB 접속 정보 등의 정보가 평문으로 노출되어 있는지 확인한다.
- 다양한 에러를 유발 후 에러 메시지에서 중요 정보(시스템 정보, 절대 경로 정보, 컴파일 소스 정보 등)가 노출되는지 확인한다.
보안 대책
- 웹 페이지(html) 소스 레벨에서 중요 정보를 암호화하거나 숨겨서 전송해야 한다.
- 에러 페이지 별도로 지정하여 모든 에러코드에 대해 지정된 에러 페이지로 리다이렉트 되도록 설정한다.
IT 보안, 관심 있는 것을 공부합니다.