1. 정보 누출(IL)
2. 취약점 개요
정보 누출(Information Disclosure) 취약점은 웹 애플리케이션 또는 서버 환경 설정의 미비로 인해, 인가되지 않는 사용자에게 불필요하거나 민감한 정보가 노출되는 보안 결함이다. 정보로는 소스 코드 일부, 설정 파일, 에러 메시지, 계정 정보, 내부 IP 주소 등 다양한 내부 정보가 포함된다. 이 정보들은 공격자에게 시스템 구조를 파악할 수 있는 정보를 제공하며, 이후 권한 상승이나 내부 시스템 침투 등 2차 공격의 핵심 자료로 악용될 수 있다.
3. 진단 결과
1) 웹 사이트에 중요정보가 평문으로 노출되고 있는지 확인
2) 웹페이지에 마스킹 된 중요정보가 웹페이지 소스에 평문으로 노출되고 있는지 확인
3) 에러 메시지에 내부 경로 및 데이터베이스 오류 코드가 노출되는지 확인
4. 권고사항
1) 개인정보 조회, 출력, 입력 시 정보를 일부 마스킹하여 비인가자의 정보 탈취 위험 및 주변 노출 위험을 최소화 함
◎ 개인정보에 마스킹 적용 예시
1-1) 성명 중 이름의 가운데 글자(이*민)
1-2) 생년월일(****년 **월 **일)
1-3) 전화번호 또는 휴대전화번호(010-****-1234)
1-4) 주소의 읍/면/동(서울시 강남구 **동)
1-5) IPv4 주소의 경우 17~24bit, IPv6 주소의 경우 113~128bit
2) 중요정보는 HTML 소스에 포함하지 않고 서버 측에서 안전하게 처리
3) 웹페이지 운영 서버 이관 시 주석을 모두 제거
4) 모든 에러 코드에 대해 별도의 에러 페이지로 Redirect 하거나 적절한 에러 처리 루틴을 설정하여 처리되도록 함
5) 특정 정보를 식별할 수 없는 통합된 메시지를 반환
'Web 취약점' 카테고리의 다른 글
| Web 취약점 진단 - 약한 문자열 강도 (0) | 2025.12.30 |
|---|---|
| Web 취약점 진단 - 악성 콘텐츠 (0) | 2025.12.30 |
| Web 취약점 진단 - 디렉터리 인덱싱 (0) | 2025.12.26 |
| Web 취약점 진단 - 운영체제 명령 실행 (0) | 2025.12.26 |
| WAF(Web Application Firewall) (0) | 2025.12.15 |