안녕하세여 오랜만에 글을 씁니다.
저는 apache2를 사용하고 있습니다.
웹을 처음 개발을 해서 웹서버에 올리게 되면
이러한 페이지가 출력? 됩니다.
apache의 버전도 나오고 var/www/html 에 있는 모든 파일들을 보여줍니다. (취약점이라고 분류될 정도로 기초적이지만 위험한 취약점입니다.)
index of 를 제거 하기
/etc/apache2/mods-available/dir.conf
이 한줄을 찾기 까지 정말 많은 시간을 투자했습니다... (약 2시간 ??)
그러면 위와 같은 그림이 나옵니다. 이것은 index.html을 첫 순서로
(없으면 --> .cgi) 보여준다. 뭐 이런 의미와 동일합니다.
저는 이렇게 수정했습니다. (login.php에 원하는 문서의 이름을 입력하시면 됩니다. )
*/ 참고
apache 설정 파일은 centOS를 사용한다면
/etc/httpd/conf/httpd.conf 에서 index of 수정이 가능합니다.
기본 아파치 설정파일 경로
/etc/apache2/apache2.conf
'web > 웹 해킹 및 보안' 카테고리의 다른 글
OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점 (1) | 2017.05.25 |
---|---|
OWASP 취약점 정리(1/10) OS injection (0) | 2017.05.24 |
PHP 비교 연산자 취약점 (magic hash) (0) | 2017.05.21 |
directory listing 취약점 막기(apache2) (0) | 2017.05.15 |
xss를 이용한 session 탈취 (0) | 2016.10.03 |
index of 취약점 제거(웹 시작 페이지 바꾸기) (3) | 2016.10.02 |
그런데어차피 저취약점있어봣자 쓸수잇는것도 없지않나요?
DB정보 빼내고 그런것들 전부불가능한걸로압니다.
홈페이지 정보만 볼뿐이지
답글
디렉토리 리스팅 취약점으로 어드민 페이지 찾고 2차적인 해킹으로 웹쉘 업로드 및 시스템 장악 해봤습니다. 충분히 가능합니다.
예를 들어 DB 정보(user&password)나 로그 같은 경우 를 텍스트 파일로 저장하는 경우가 있습니다.
혹은 사용하지 않는 페이지, admin page가 노출 될 수 도 있습니다.
답글