[Web] 정보 누출 (IL)

정보 누출

4E5C68

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 에러 상황에서 적절한 에러 페이지가 노출되도록 하여 2차 공격에 활용될 수 있는 불필요한 정보 노출을 차단하기 위함

■ 보안 위협
- 웹사이트 내 적절한 에러 페이지가 마련되지 않은 경우 오류 메시지에서 웹 사이트의 민감한 정보(소스 코드 내 계정 및 비밀번호, 애플리케이션정보, DB정보, 웹서버 구성 정보, 개발 과정의 코멘트 등)가 노출되어 공격자들의 2차 공격을 위한 정보로 활용될 수 있음

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우
- 취약 : 웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우

■ 조치 방법
- 발생 가능한 각 에러에 대한 별도의 웹 서비스 에러 페이지를 지정함

■ 점검 방법
Step 1) html 소스 내에 개인정보(화면상엔 마스킹 처리되어 있지만 소스에는 그대로 표시), 인증정보, DB 접속 정보 등의 중요 정보가 노출되고 있는지 확인

Step 2) 에러 메시지에서 중요 정보(시스템 정보, 절대 경로 정보, 컴파일 소스 정보 등)가 노출되는지 확인

■ 보안설정방법
Step 1) html 소스 단에 기록되는 정보는 사용자가 웹 브라우저의 소스보기 기능만을 사용해도 간단히 내용을 볼 수 있으므로, html 소스 레벨에서 중요 정보를 코멘트 처리하거나 hidden 등의 값으로 기록하지 말아야 함

Step 2) 일반적으로 웹에서 발생하는 에러 메시지는 400, 500 번대의 에러코드를 리턴하게 되는데 이러한 에러 코드에 대해 별도의 에러 페이지로 Redirect 하거나 적절한 에러 처리 루틴을 설정하여 처리 하도록 함(전체적인 통합 에러 페이지를 작성한 후 모든 에러코드에 대해 통합 에러 페이지로 리다이렉트 되도록 설정)

※ 웹 서버 별 상세 설정

Apache

위와 같이 특정 에러코드에 대해 에러 메시지를 출력할 수도 있고 특정 웹페이지로 Redirect 시킬 수 있으며, 이 설정을 httpd.conf 의 전역 설정에 추가하거나 원하는 가상 호스트의 <VirtualHost></VirtualHost> 사이에 추가하면 됨

IIS 5.0, 6.0

인터넷 정보서비스(IIS) 관리 > 속성 > [사용자 지정 오류] 탭엑서 400, 401, 403, 404, 500 등 웹서비스 에러에 대해 별도 페이지 설정

IIS 7.0 설정

Step 1) 에러 메시지 설정
인터넷 정보 서비스(IIS) 관리자 > 해당 웹 사이트 > [오류 페이지]에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도 페이지 지정

Step 2) 오류 페이지 설정 편집
인터넷 정보 서비스(IIS) 관리자 > 해당 웹 사이트 > 오류 페이지 > [기능 설정 편집]에서 "서버오류 발생시 다음 반환" 항목을 "사용자 지정 오류 페이지"로 설정