[주요정보통신기반시설] 8. 디렉터리 인덱싱

오늘 공부해볼 취약점은 디렉터리 인덱싱 입니다.

해당 취약점은 웹 브라우저를 통해서 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 노출할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 수 있어 보안상 위험을 초래할 수 있습니다.

 

해당 취약점의 경우 여러가지 패턴들을 입력해보는 것 이외에 경험이 필요한 부분입니다. 주요정보통신기반시설의 경우 jsp 사이트일 때 %3f.jsp 를 붙이는 경우만 써놓았기 때문에 다른 사례들을 첨부해서 작성해보려고 합니다.

 

testphp.vulnweb.com 해당 사이트를 이용해서 작성하겠습니다.

 

일반적으로는 사이트 맨 뒤부분에 /를 추가해보거나 /를 기준으로 하나씩 지워가면서 점검해봅니다.

메인 사이트의 경우라면 관리자 사이트 찾아보듯이 /adm/, /admin/, /administrator 등등을 사용하고  

/icons/, /images/, /pr/, /files, /download, /data/,  등등 키워드를 키워드를 대입해가면서 디렉터리 인덱싱을 찾습니다. 

jsp의 경우 위의 방법도 써보고 %3f.jsp도 붙여서 확인해봅니다.

(이놈의 얕은지식)

 

이제 testphp.vulnweb.com  를 참조하겠습니다. 아래는 메인페이지의 모습입니다.

이후 디렉터리가 리스팅 되는지 확인해 보기 위해서 /를 넣어서 시도해봅니다.

하지만 별 다른 반응이 없기 때문에 관리자 사이트 확인 겸 /admin을 입력해보겠습니다.

입력 후 반응을 확인해보면 아래와 같이 인덱싱 사이트를 찾을 수 있습니다.

아래는 주정통 상세가이드 내용입니다.

이상입니다.