본문 바로가기
인프라 진단/전자금융기반시설(서버) - Apache

SRV-043 (Apache) 웹 서비스 경로 내 불필요한 파일 존재

by 49 BLOCK 2024. 1. 2.

notice

SRV-043 웹 서비스 경로 내 불필요한 파일 존재

【 상세설명 】
웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검

【 판단기준 】
- 양호 : 불필요한 파일이 존재하지 않을 경우
- 취약 : 
    1. 디폴트 cgi-bin이 존재할 경우
    2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우

【 판단방법 】
1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인

  ■ Linux, AIX, HP-UX, SOLARIS
      # ls -alL /etc/apache2/htdocs/manual
      # ls -alL /etc/apache2/manual
      # ls -alL /etc/apache2/cgi-bin
      # ls -alL /etc/httpd/htdocs/manual
      # ls -alL /etc/httpd/manual
      # ls -alL /etc/httpd/cgi-bin
      # ls -alL /<HTTPD_ROOT>/htdocs/manual
      # ls -alL /<HTTPD_ROOT>/manual
      # ls -alL /<HTTPD_ROOT>/cgi-bin
      # ls -alL /var/www/html/htdocs/manual
      # ls -alL /var/www/html/manual
      # ls -alL /var/www/html/cgi-bin
      …

      ※ Apache Web Root 경로 확인(HTTPD_ROOT)
          # apachectl -V | grep "HTTPD_ROOT"
          # apache2 -V | grep "HTTPD_ROOT"
          # httpd -V | grep "HTTPD_ROOT"
              -D HTTPD_ROOT="/etc/apache2"

【 조치방법 】
1. 웹 서비스 경로 내 불필요한 파일 및 디렉터리 삭제

2024-01-13 : (조치과정 삭제)