정보 노출 취약점 발견 사례

 

다양한 환경을 접해보면서 알게 된 정보 노출 취약점 진단 관련하여 공유드립니다.

 

정보 노출 취약점 도출 사례 ①

IIS 구축 시 디폴트 설정 값을 사용하고 있어, 사이트 접근 시 응답 헤더 값에 서버 정보가 노출된 것으로 추정하고 있습니다.

S-1) 서버 접근 시 응답 헤더에 서버 정보가 노출되는 것을 확인 가능합니다.

• 대응방안으로는 IIS에서 응답 헤더값에 서버 정보가 노출되지 않도록 설정이 필요

정보 노출 취약점 도출 사례 ②

프론트단에서 서버로 요청 시 존재하지 않는 메서드를 이용하여, 강제로 에러를 발생시키는 원리

S-1) 강제로 에러를 발생 시키기 위해 존재하지 않는 메서드로 변조 시도합니다. (GET → GE11T)

S-2) 응답 헤더에 서버 정보가 노출된 것을 확인 가능합니다.