http://[win2000 IP]/index.asp
c:\inetpub\webhack\index.asp
 
로그인시
http://[win2000 IP]/member/member_login.asp
c:\inetpub\webhack\member\member_login.asp

이것 자체만으로도 취약점이 있다고 판단
방어방법
1.디렉토리마다 기본페이지를 만든다
2.디렉토리 리스팅 기능을 끈다.
 
디렉토리 리스팅을 꺼버리면 전역설정이 되어버려서 배포작업을 할 수가 없다.
default 페이지를 만들면 디렉토리별로 관리를 할 수가 있다.

디렉토리 검색기능을 꺼주면 리스팅 기능을 꺼주는 것이다.

방법2

디렉토리마다 기본 페이지를 설정해준다
위와 같이 작성한후 껏다키면 바로 적용이 된다

리스팅을 통해 문서를 다운로드 받아도 스크립틀릿 태그를 제외하고 보여주게 된다.
다른이름으로 저장했을 때 처리된 결과물만 가지고 올 수 있다.
그렇기 때문에 스크립틀릿 태그에 포함된 내용은 보이지 않는다.
 
 
member_login_check.asp
아래와 같은 형태로 백업본이 자동으로 생긴다.
 
member_login_check.asp.bak
member_login_check.asp.old
.member_login_check.asp
_member_login_check.asp
member_login_checkbak.asp
//이클립스 같은 프로그램은 백업본이 자동으로 생긴다.

특히 .bak 형태의 백업파일은 메모장으로 열면 소스코드가 그대로 노출되므로 므로 관리를 철저히 야한다.

'정보보안 > Web' 카테고리의 다른 글

APM기반 웹 보안,.htaccess  (738) 2020.07.22
Upload 취약점, Webshell  (516) 2020.07.15
Mass SQL Injection  (728) 2020.07.15
Stored Procesure,CMD shell  (735) 2020.07.15
Blind SQL Injection  (722) 2020.07.15

+ Recent posts

티스토리툴바