RadarURL

조회 수 28 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

웹취약점에 대해서 공부를 하다가 디렉토리 리스팅이 유독 민감하게 느껴져서 GPT 에 질문을 해봤고 아래와 같다.

 

  • 디렉토리 리스팅 (Directory Listing):
    • 서버 디렉토리의 파일 목록이 노출되어 민감한 정보가 유출될 수 있습니다.
    • 예: 특정 디렉토리에 접근하면 해당 디렉토리 내의 파일 목록이 표시됨

 

디렉토리 리스팅(Directory Listing)은 웹 서버가 특정 디렉토리의 파일 목록을 브라우저에 표시하는 기능입니다. 이는 서버 설정에 따라 기본적으로 활성화되어 있거나, 개발자가 실수로 비활성화하지 않았을 때 발생할 수 있습니다. 디렉토리 리스팅이 활성화된 경우, 해당 디렉토리에 있는 파일과 폴더가 모두 노출될 수 있어 보안에 취약할 수 있습니다.

 

 

 

 

 

필자의 환경

  • 인스턴스 : AWS EC2 
  • OS : Amazon Linux 2  (CentOS 기반)
  • 웹서버 : Apache

 

실제 내가 사용중인 AWS EC2 인스턴스의 경우 웹서버를 Apache 를 쓰고 있는데 내가 임의로 만든 디렉토리 파일과 하위 디렉토리를 만들었는데 url 을 디렉토리까지 입력하니 디렉토리 리스트가 그대로 노출이 되었다.

 

 

디렉토리 리스팅 실제 예시

 

 

 

취미용으로 AWS 를 쓰고 있지만 디렉토리가 노출되는것은 꺼림칙하기 때문에 조치를 아래와 같이 하였다.

 

 

 

 

 

 

내 경우 httpd.conf 의 경로는 /etc/httpd/conf/httpd.conf  였다.( centOS 기반)

 

또한 웹루트 디렉토리에 대해서 비활성화를 원했기 때문에 아래처럼 조치하였다.

 

 

1. httpd.conf 파일의 웹루트 디렉토리에 Options -Indexes 추가

2. 웹루트 디렉토리에 .htaccess 파일 추가 , 파일내용은  Options -Indexes 

3. 1에서 만든 httpd.conf 파일에서  웹루트 디렉토리( <Directory "/var/www/html">) 에 대하여 AllowOverride All 로 수정

 

 

 

.

4. Apache 서버 재시작 (centOS기준) :  sudo systemctl restart httpd

 

 

위의 1~4 과정대로 수행 후 다시 확인해보니 403에러를 표시하면서 디렉토리 리스팅 방지가 된 것을 확인했다.

 

* 위 과정 중 불필요한 중복과정이 있을 수 있음.

 

 

 

 

 

 

아래는 GPT 답변이다.

 

 

 

 

 

 

출처 : https://potatoggg.tistory.com/284

?

공부 게시판

공부에 도움되는 글을 올려주세요.

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
공지 [공지] 공부 게시판 입니다. 처누 2003.08.18 930288
45 웹서버,WAS [Windows] OWASP ZAP 사용법 JaeSoo 2025.09.29 30
» 웹서버,WAS [웹 취약점] 웹서버 디렉토리 리스팅 방지 JaeSoo 2025.09.29 28
43 웹서버,WAS [apache] HTTP/HTTPS 리다이렉트(Redirect/Rewrite) 하는 방법 JaeSoo 2025.09.11 122
42 웹서버,WAS http를 https로 리다이렉트하는 여러가지 방법 JaeSoo 2025.09.10 124
41 웹서버,WAS SSL인증서 없이 HTTPS에서 HTTP로 되돌리기 JaeSoo 2025.09.10 132
40 웹서버,WAS [SSL] win-acme, Let's encrypt로 무료 SSL 인증서 발급 JaeSoo 2025.09.10 123
39 웹서버,WAS [SSL] Windows 10에서 Let's Encrypt로 SSL 인증서 무료 발급받기 JaeSoo 2025.09.10 121
38 웹서버,WAS 무료로 https SSL/TLS 인증서를 발급받을 수 있는 인증 기관 JaeSoo 2025.09.10 114
37 웹서버,WAS 아파치 서버에 https SSL 인증서 적용하는 방법 (apache httpd) JaeSoo 2025.09.10 115
36 웹서버,WAS 아파치2(Apache2) SSL HTTPS 적용하기 JaeSoo 2025.09.10 143
35 웹서버,WAS 아파치 웹서버에 멀티 도메인에 대한 80, 443 포트 설정하는 방법 file JaeSoo 2025.09.10 185
34 웹서버,WAS 용량 산정 (동시 접속자 계산) JaeSoo 2016.05.05 1065
33 웹서버,WAS 아파치 httpd.conf 재시작 없이 설정 적용하기 JaeSoo 2016.05.02 690
32 웹서버,WAS Tomcat JVM heap memory set 및 size JaeSoo 2016.03.23 749
31 웹서버,WAS Java 실행 옵션 정리 JaeSoo 2016.03.23 658
30 웹서버,WAS [JAVA] 개발환경설정 - 표준프레임워크 file JaeSoo 2016.01.02 817
29 웹서버,WAS Tomcat 7.x 와 8.x 간의 default configuration 차이 JaeSoo 2016.01.02 795
28 웹서버,WAS 톰캣 8 소개 JaeSoo 2016.01.01 549
27 웹서버,WAS 리눅스 webalizer를 통한 apache log(웹서버 접속 통계) 분석하기 (추천) JaeSoo 2014.12.25 1154
26 웹서버,WAS 리눅스 아파치 로그 뷰어 webalizer, utf-8로 변환하기 file JaeSoo 2014.12.22 923
Board Pagination Prev 1 2 3 Next
/ 3


즐겨찾기 (가족)

JAESOO's HOMEPAGE


YOUNGAE's HOMEPAGE


장여은 홈페이지


장여희 홈페이지


장여원 홈페이지


즐겨찾기 (업무)

알리카페 홀릭

숭실대 컴퓨터 통신연구실 (서창진)

말레이시아 KL Sentral 한국인 GuestHouse


즐겨찾기 (취미)

어드민아이디

유에코 사랑회

아스가르드 좋은사람/나쁜사람

JServer.kr

제이서버 메타블로그

재수 티스토리


즐겨찾기 (강의, 커뮤니티)

재수 강의 홈페이지


한소리


VTMODE.COM


숭실대 인공지능학과


숭실대 통신연구실


베너