반응형
보통 웹 서비스를 개발 하는 경우 "/" 에 대해 welcome page 등으로 구성해 놓지만
특정 서비스(자료실 서버 등) 의 경우 해당 페이지를 구성해 놓지 않는 경우가 있다.
이때 http://localhost:8080/ 등으로 접속을 하면
위와 같은 화면이 노출 되는 경우가 발생한다.
위 사항은 Apache HTTP Server 설정이 잘못 된 경우인데 이 경우 보안에 치명적인 상황이 발생된다.
** 참고
Directory Traversal 이란 보안 취약 사항으로 "보안상 잘못된 구성이라고 한다." => 2010년에 발표된 OWASP Top10 으로 발표 되었다고.
문제 해결은 아주 간단하다.
apache web server의 환경 파일(대충 httpd.conf 이런 파일)을 찾아서.
Options Indexes FollowSymLinks
빨간 색 부분을 빼주면 된다.
Default 설정파일에는 "/" 에 해당 옵션이 빠져 있다.(누가 건드린거야?ㅡㅡ)
설정 파일을 수정한 뒤 서버 재기동을 하면 403 ERROR 를 보이면서 오류 페이지가 뜨게 된다.
403 : Forbidden
반응형