애플리케이션 정보 노출

설명

애플리케이션 정보 노출 점검. 여기에는 버전 번호, 데이터베이스 오류 메시지, 스택 추적과 같은 정보가 포함됩니다.

수정 방법

애플리케이션 정보 노출은 애플리케이션이 웹 애플리케이션 또는 환경의 기술적 세부정보와 같은 민감한 데이터를 드러내는 애플리케이션의 취약점입니다. 공격자는 애플리케이션 데이터를 사용하여 대상 웹 애플리케이션, 그 호스팅 네트워크 또는 사용자들을 공격할 수 있습니다. 따라서 민감한 데이터의 유출은 가능한 한 제한되거나 방지되어야 합니다. 정보 노출은 가장 일반적으로 다음 조건 중 하나 이상으로 인해 발생합니다: 민감한 정보를 포함하는 HTML 또는 스크립트 주석을 정리하지 못하거나 잘못된 애플리케이션 또는 서버 구성입니다.

제작 환경으로 푸시하기 전에 HTML 또는 스크립트 주석을 정리하지 않으면 서버 디렉토리 구조, SQL 쿼리 구조 및 내부 네트워크 정보와 같은 민감한 상황 정보를 유출할 수 있습니다. 개발자는 종종 HTML 및 스크립트 코드 내에 디버깅 또는 통합 프로세스를 용이하게 하기 위해 주석을 남깁니다. 개발자가 자신이 개발한 내용에 인라인 주석을 포함하도록 허용하는 것은 해롭지 않지만, 이러한 주석은 콘텐츠의 공개 릴리스 전에 모두 제거되어야 합니다.

소프트웨어 버전 번호 및 자세한 오류 메시지(예: ASP.NET 버전 번호)는 잘못된 서버 구성의 예입니다. 이 정보는 웹 애플리케이션에서 사용되는 프레임워크, 언어 또는 미리 제작된 함수에 대한 자세한 통찰력을 제공하여 공격자에게 유용합니다. 대부분의 기본 서버 구성은 디버깅 및 문제 해결 목적으로 소프트웨어 버전 번호 및 자세한 오류 메시지를 제공합니다. 이 정보를 표시하지 않도록 이러한 기능을 비활성화하는 구성 변경을 할 수 있습니다.

링크