[웹취약점 개선] 위치공개 - 삭제 파일 확장자

1. 취약점 개요
폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 공격자가 이를 악용하여 대상에 대한 정보를 획득하고 민감한 데이터에 접근 가능


2. 개선방향
. 웹 디렉터리를 조사하여 [표. 삭제해야 할 파일 확장자]에 포함된 백업 파일을 모두 삭제하고, *.txt 같이 작업 중 생성된 일반 텍스트 파일이나 이미지 파일 등도 제거함
. 백업 파일은 백업 계획을 수립하여 안전한 곳에 정기적으로 백업해야 하며 웹 서버 상에는 운영에 필요한 최소한의 파일만을 생성하여야 함
. 웹 서버 설정 후 디폴트 페이지와 디폴트 디렉터리 및 Banner를 삭제하여 Banner Grab에 의한 시스템 정보 유출을 차단함
. Apache, IIS, Tomcat 등 각 웹 서버 설정 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션을 삭제하여 보안 위험을 최소화 함


3. 삭제해야 할 파일 확장자 예시
*.back
*.backup
*.org
*.old
*.lo
*.!
*.sql
*.new
*.tmp
*.temp
*.zip
*.txt


4. 개선방법
ssh 쉘에서 find 명령어를 이용해서 파일의 존재여부를 확인하고, 삭제여부를 판단합니다.
# find . -name "*.back"
# find . -name "*.backup"
# find . -name "*.org"
# find . -name "*.old"
# find . -name "*.new"
# find . -name "*.tmp"
# find . -name "*.temp"
# find . -name "*..!"
# find . -name "*.sql"
# find . -name "*.zip"
# find . -name "*.txt"


5. 개선결과 보고
아래 확장자 파일이 존재하지 않습니다.
*.back
*.backup
*.org
*.old
*.lo
*.!
*.sql
*.new
*.tmp
*.temp

아래 확장자 파일은 게시판 자료실의 첨부파일 등으로 사용하므로 삭제할 수 없습니다.
*.zip

아래 확장자 파일은 HTMLPurifier 기능을 위한 데이타 파일 등으로 사용하므로 삭제할 수 없습니다.
*.txt