안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "정보 노출"에 대해서 설명드리도록 하겠습니다.
웹 서비스를 이용하는데 불필요한 정보가 사용자에게 노출되는 경우 취약이라고 봐야 하는데요 다양한 정보 노출이 발생하기에 노출된 정보가 정보 노출 여부 확인이 가장 어려울 수 있습니다. 먼저 가이드를 확인해 보도록 하겠습니다.
정보 노출 취약점은 정말 다양한 정보가 다양한 곳에서 노출될 수 있기에 해당 정보가 취약점인지 인지하는 거 자체부터가 어려울 수 있습니다. 먼저 가장 기본이 되는 것은 사용자가 서비스를 사용하는데 불필요한 정보가 노출되는 경우에는 모두 취약점이라고 봐야 하는데요 가장 대표적인 것은 오류 페이지입니다.
일단 403, 404 오류 페이지의 경우 .....
![[IL/상] 9. 정보 노출](https://k.kakaocdn.net/dn/bnZCBg/btrOFePIptY/sNmzTb6MgQE4I8WkGMXRD1/img.png)
원문 링크 : [IL/상] 9. 정보 노출
![[W-15/상] 2. 서비스 관리 2.9 웹 프로세스 권한 제한](https://k.kakaocdn.net/dn/BhurN/btrOQDVvQC1/QbRjo648lcBhpudAGF4hsk/img.png)
![[ISMS-P] 2.2.1 주요 직무자 지정 및 관리 : 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?](https://k.kakaocdn.net/dn/k36IC/btrO00KnhCU/qjBvvsaBGHgk4RFheoqkt0/img.png)
![[U-43/상] 5. 로그 관리 5.1 로그의 정기적 검토 및 보고](https://k.kakaocdn.net/dn/bST2wV/btrOSbLoyjT/U8uPTOD48FvGzvOpTjfam1/img.png)
![[U-09/상] 2. 파일 및 디렉토리 관리 2.5 /etc/hosts 파일 소유자 및 권한 설정](https://k.kakaocdn.net/dn/63UuL/btrOxnephhZ/GTOKo1LCLkoOSXCdLquKr0/img.png)
![[U-61/하] 3. 서비스 관리 3.25 ftp 서비스 확인](https://k.kakaocdn.net/dn/VK9xe/btrOHUqTaog/0XCQI0wK44le3eDx2xf2Ik/img.png)
![[ISMS-P]1.1.6 자원 할당 : "연도별 정보보호 및 개인정보보호 업무 세부 추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?"](https://k.kakaocdn.net/dn/coobBI/btrOmdqIVIV/DZCTk4XshKztON1kNrE0A1/img.png)