주요정보통신기반시설가이드/LINUX 취약점 점검
[U-35(상)] 3. 서비스 관리 > 3.17 웹서비스 디렉토리 리스팅 제거
JITSU
2025. 5. 1. 15:31
작업 환경
- VMware Workstation Pro (17.6.2 ver)
- Server
- Rocky_Linux(8.10 ver) : NAT
| U-35 (상) | 3. 서비스 관리 > 3.17 웹서비스 디렉토리 리스팅 제거 |
| 취약점 개요 | |
| 점검 내용 | 디렉터리 검색 기능의 활성화 여부 점검 |
| 점검 목적 | 외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으 로 함 |
| 보안 위협 | 디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리내 파일이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출 가능함 |
| 판단 기준 | 양호 : 디렉터리 검색 기능을 사용하지 않는 경우 취약 : 디렉터리 검색 기능을 사용하는 경우 |
| 참고 | X |
서비스 확인법
# Indexes 옵션 사용 여부 확인
vi /[Apache_home]/conf/httpd.conf
# 아래의 설정 확인
Options Indexes FollowSymLinks
LINUX
- Step 1) vi 편집기를 이용하여 /etc/httpd/conf/httpd.conf 파일 열기
- vi /[Apache_home]/conf/httpd.conf
- Step 2) 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 주석/제거
- (수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음
# 수정 전
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all
</Directory>
# 수정 후
<Directory />
# Options Indexes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all
</Directory>
추후 웹 서비스 취약점을 주제로 정리 예정