애플리케이션 정보 노출

설명

애플리케이션 정보 노출 확인. 이에는 버전 번호, 데이터베이스 오류 메시지, 스택 트레이스와 같은 정보가 포함됩니다.

치료

애플리케이션 정보 노출은 애플리케이션이 웹 애플리케이션이나 환경의 기술적인 세부 정보와 같은 민감한 데이터를 노출하는 애플리케이션 취약점입니다. 공격자가 이러한 애플리케이션 데이터를 사용하여 대상 웹 애플리케이션, 해당 호스팅 네트워크, 또는 사용자를 공격하는 데 활용할 수 있습니다. 따라서 민감한 데이터의 누출은 가능한 한 제한하거나 방지해야 합니다. 정보 노출은 가장 흔한 형태로 다음 중 하나 이상의 조건으로 인해 발생합니다: 민감한 정보를 포함하고 있는 HTML 또는 스크립트 주석을 제거하지 않거나 부적절한 애플리케이션 또는 서버 구성.

제품화 환경으로의 푸시 전에 HTML 또는 스크립트 주석을 제거하지 않는 것은 서버 디렉터리 구조, SQL 쿼리 구조 및 내부 네트워크 정보와 같은 민감하고 맥락 있는 정보의 누출로 이어질 수 있습니다. 대개 개발자들은 프리프로덕션 단계에서 디버깅이나 통합 프로세스를 돕기 위해 HTML 및 스크립트 코드 내에 주석을 남겨놓습니다. 개발자가 개발하는 내용에 인라인 주석을 포함하는 것에는 문제가 없지만, 이러한 주석은 모두 내용이 공개되기 전에 제거되어야 합니다.

소프트웨어 버전 번호와 상세한 오류 메시지(예: ASP.NET 버전 번호)는 부적절한 서버 구성의 예입니다. 이러한 정보는 웹 애플리케이션에서 사용하는 프레임워크, 언어 또는 미리 만들어진 기능에 대한 자세한 통찰을 제공함으로써 공격자에게 유용합니다. 대부분의 기본 서버 구성은 디버깅 및 문제 해결 목적으로 소프트웨어 버전 번호와 상세한 오류 메시지를 제공합니다. 이러한 기능의 표시를 방지하기 위해 구성 변경이 가능합니다.

링크