F12 개발자 도구 및 BurpSuite를 이용하면 응답메세지의 서버헤더 부분으로 정보를 얻을수있다.
PHP언어로 개발 될 경우 phpinfo.php로 환경변수, 환경 등을 알 수 있다.
nikto 라는 웹 스캐닝 프로그램으로 여러정보를 수집가능하다.
ex) nikto -host ~~
보안헤더가 설정되지 않았고
디렉토리 인덱싱이 발견되었다.
디렉토리 인덱싱 : 웹 서버 디렉토리의 파일들이 노출되는 취약점
지정된 파일들이 디렉토리에 존재하지 않으면 해당 디렉토리의 모든 파일이 출력 되는 문제
웹 애플리케이션 매핑
BurpSuite을 이용하여 어떤 정보가 주고 받는지를 확인
Dirbuster프로그램을 이용하여 폴더를 매핑 할수 있음
robots.txt (웹 로봇을 이용하여 웹사이트 정보 수집할 때 명령)
정보 수집 대응
- 정보 노출 삭제
- 스캐너/크롤러 차단 (접속횟수 유의)
- 디렉토리 인덱싱 설정 제거
'정보보안 > 화이트 해커를 위한 웹해킹의 기술' 카테고리의 다른 글
| Command Injection (0) | 2022.01.29 |
|---|---|
| Blind SQL Injection (0) | 2022.01.29 |
| SQL Injection (0) | 2022.01.25 |
| 취약한 인증 공격 (0) | 2022.01.25 |
| Burp Suite 기능 (0) | 2022.01.22 |