웹 취약점 Story3 불필요한 웹 Method 진단 시 발생하는 문제점 및 대응방안 ※ 필자는 현재 모의해킹 컨설팅(웹/앱 취약점 진단)파트에 일을 하고 있다. (이제 2개월 차인 햇병아리임...) 기업 취약점 진단 프로젝트를 진행하다 보면 불필요한 메스드 관련 취약점이 자주 등장하는데. 문제가 있었다 요청 패킷 부분에서 OPTIONS로 값을 주었을 때 서버 측에 허용 중인 불필요한 메소드(PUT, DELETE)가 존재한다. 하지만 실행을 시키면 실행되지 않아 이 부분을 취약을 잡을지 양호를 잡을지 정말 고민이었다. 왜냐하면 분명 서버 측에는 허용중인 불필요한 메소드가 ALLOW로 설정 되어 있다!!. 근데 실행은 되지가 않는다. 도대체 왜?? 허용이 되는데 실행은 왜 안돼?이런 고민을 한방에 해결해 준 것이 바로 이번 블로그이다. 많은 도움이 되었으면 좋겠다. 01. 개요 HTTP(H.. 2020. 9. 15. 검색엔진 정보 노출 취약점 검색엔진 정보 노출 취약점이란 검색엔진에 의해 웹사이트 해킹에 필요한 정보(시스템 정보, 개인정보, 관리자 경로 등)가 검색되어 해킹의 빌미가 제공되는 취약점 robots.txt 설정 상태 및 에러 페이지에 정보가 노출되는 경우가 있음. robots.txt 파일에 디렉토리 정보가 노출 되기도 함. 예시를 들어보자면 백악관의 홈페이지인 http://whitehouse.gov 에 /robots.txt를 입력하면 워드 프레스 관리자 페이지가 노출됨. 노출됬다고 해도 취약한 정보가 담겨져 있지는 않기 때문에 큰취약점은 아니지만 원래는 robots.txt 자체가 노출되어서는 안됨. robots.txt에 대한 각각의 의미. 1. 모든 로봇에게 문서 접근을 허가할 경우 User-agent : * Allow : / 2.. 2019. 7. 16. HTTP/HTTPS 혼용에 의한 중요경로 접근 우회 HTTP는 기본적으로 문자열 기반의 통신규약이다. 정보가 평문으로 송수신되기 때문에 중간에서 가로채면 내용을 읽을 수 있다. HTTPS는 이러한 문제를 보완하기 위해 문자열을 암호화하여 송수신한다. NCSA 모자이크(Mosaic) 브라우저가 1993년에 개발되고 8개월 후인 1994년에 SSL 1.0이 발표되었다. 그리고 모자이크 개발자들이 설립한 넷스케이프사가 Netscape Communicator 1.0에 SSL 2.0을 적용하였다. 이것이 SSL 1.0이 발표된 지 5개월 후의 일이었다고 한다. 따라서 HTTP와 HTTPS는 거의 같은 깊이의 역사를 가지고 있는 셈이다. 그런데 왜 아직도 HTTP를 사용하는 누리집이 많은 것일까? 많은 사람들이 가장 우려하는 부분은 속도 문제이다. 암호화 키를 교환.. 2019. 7. 16. 이전 1 다음
