애플리케이션 정보 노출

설명

애플리케이션 정보 노출 확인. 이에는 버전 번호, 데이터베이스 오류 메시지, 스택 트레이스와 같은 정보가 포함됩니다.

심각도 완화

애플리케이션 정보 노출은 애플리케이션이 웹 애플리케이션이나 환경의 기술적 세부 정보와 같은 민감한 데이터를 노출하는 애플리케이션 취약성입니다. 애플리케이션 데이터는 공격자가 대상 웹 애플리케이션, 호스팅 네트워크 또는 사용자를 공격하는 데 사용될 수 있습니다. 따라서 민감한 데이터의 유출은 가능한 한 제한하거나 방지해야 합니다. 정보 노출은 대부분 다음 조건 중 하나 이상의 결과로 나타납니다. HTML이나 스크립트 주석에 민감한 정보가 포함되어 있거나 적절하지 않은 애플리케이션 또는 서버 구성에 실패한 경우입니다.

운영 환경에 푸시하기 전에 HTML이나 스크립트 주석을 정리하지 않으면, 서버 디렉토리 구조, SQL 쿼리 구조 및 내부 네트워크 정보와 같은 민감한 맥락 정보가 누출될 수 있습니다. 종종 개발자는 사전 제품화 단계에서 디버깅이나 통합 프로세스를 돕기 위해 HTML 및 스크립트 코드에 코멘트를 남깁니다. 개발자가 개발하는 내용에 인라인 코멘트를 허용하는 데는 해가 없지만, 이러한 코멘트는 모두 내용이 공개되기 전에 제거해야 합니다.

소프트웨어 버전 번호와 수다스러운 오류 메시지(예: ASP.NET 버전 번호)는 적절하지 않은 서버 구성의 예시입니다. 이 정보는 웹 애플리케이션이나 언어에 사용되는 프레임워크, 기능 등에 대한 자세한 통찰을 제공함으로써 공격자에게 유용합니다. 대부분의 기본 서버 구성은 디버깅 및 문제 해결 목적으로 소프트웨어 버전 번호와 수다스러운 오류 메시지를 제공합니다. 이 정보 표시를 방지하기 위해 구성 변경이 가능합니다.

링크