Vulnerability Assessment/Web Application

웹페이지 소스코드에 중요 정보 노출 확인

DarkSoul.Story 2016. 7. 2. 14:47
반응형




 Steps. 

 1. 개요

 2. 테스트 방법

 


1. 개요


개발자가 소스코드에 대한 상세한 설명 및 메타 데이터를 포함하는 것은 매우 흔한 일이다. 그러나 HTML 코드에 포함된 의견이나 메타 데이터는 잠재적인 공격자에게 제공되어서는 안되는 내부 정보가 포함되어 있을 수 있다. 의견이나 메타데이터 리뷰는 어떤 정보가 노출되어 있는지 확인하기 위해 반드시 수행되어야 한다.


2. 테스트 방법


웹 페이지 개발 당시 개발자는 어플리케이션 프로그램에 대한 디버깅 정보를 HTML 주석을 이용해서 많이 작성한다. 개발자는 이러한 주석을 개발이 완료된 후 서비스 오픈 하기 전에 모두 삭제 해야 하지만 그렇지 않고 종료하는 경우가 빈번히 발생한다. 공격자는 어플리케이션 프로그램에 대한 자세한 정보를 얻기 위해 웹 브라우저에서 소스 보기를 이용하여 기밀정보가 포함한 html주석을 HTML 소스코드를 찾는다. 개발자는 웹 페이지의 개발을 편하게 하기위해 html 주석에 SQL 코드, ID/Password, 내부 IP, 디버깅 정보등을 작성하는 경우가 있다. 


아래는 개발자는 웹 페이지의 개발을 편하게 하기위해 html 주석의 예이다.


1) SQL 쿼리 노출


...

<div class="table2">

  <div class="col1">1</div><div class="col2">Mary</div>

  <div class="col1">2</div><div class="col2">Peter</div>

  <div class="col1">3</div><div class="col2">Joe</div>


<!-- Query: SELECT id, name FROM app.users WHERE active='1' -->


</div>

...


2) ID / Password 노출



<!-- Use the DB administrator password for testing:  f@keP@a$$w0rD --> 




Reference : OWASP (https://www.owasp.org)

반응형