심볼릭 링크 기능 비활성화symbolic link : 파일이나 디렉터리에 대한 참조를 포함하는 파일을 만드는것(ex.윈도우의 바로가기) 리눅스에서 웹 서버를 운영할 때 리눅스의 심볼릭 링크기능을 활용하면 웹 문서 경로 이외의 경로에 접근할 수 있다. 만약 디렉터리 리스닝이 활성화되어 있고 sym.html이 / 경로로 심볼릭 링크된 파일이라면 공격자가 해당파일에 접근하여 웹 서버 내부에 있는 리눅스 폴더의 구조까지 파악할 수 있게 된다.  이러한 문제점을 해결하기 위해서 심볼릭 링크 기능을 비활성화 해보자.이렇게 실습 환경 디렉터리에 가서 sym.html이라는 링크 파일을 만들어주자.만들어둔 링크를 접속해 보니 이렇게 링크 파일의 폴더와 파일에 접근이 가능하다.이렇게 되면 매우 취약한 환경이니 링크 기능을..

Directory listing웹 서버에서 접속자가 디렉터리 구조나 파일명을 쉽게 파악하고 다운로드할 수 있게 하는 것이 목적인 행위 이것은 취약점이라 보기 어렵다는 이야기도 있지만, 공격자가 공격 대상인 웹 서버의 구조를 파악하여 정보를 수집할 수 있으므로 directory listing을 활성화하는 것을 권장하지 않는다.  이번에는 직접 실습으로 directory listing을 해보자.실습 페이지에 들어오면 이렇게 로그인 화면이 뜬다. URL 주소를 변경해 가면서 서버의 파일이나 폴더 구조를 파악해 보자.URL만 바꿨을 뿐인데 이렇게 로그인하지 않아도 부모 디렉터리와 아파치 서버에 대한 정보가 노출이 되었다.. 이렇게 공격자는 웹 서버의 버전을 확인하고 취약하다고 판단하면 웹 서버 버전과 맞는 공격..