WAS 디렉터리 인덱싱, 안전하게 막아 웹 서비스 보안을 강화하세요!
by DD
3년 전
조회수 2
디렉터리 인덱싱은 WAS의 디렉터리 구조를 노출하여 보안 사고를 유발할 수 있음
IIS, Apache, Tomcat, Nginx 등 주요 WAS별 디렉터리 인덱싱 취약점 해소 방법 제시
상위 디렉터리 접근 제한을 통해 디렉터리 인덱싱 허용 시에도 보안 강화 가능
디렉터리 인덱싱, 왜 위험할까?
디렉터리 인덱싱은 WAS의 디렉터리 구조를 그대로 노출하여 중요 정보 유출의 위험을 높인다. 구체적으로, 백업 파일, 소스 코드 등 민감한 정보가 노출될 수 있다. 따라서, 불필요한 디렉터리 인덱싱은 최소화하고, 필요한 경우 상위 디렉터리 접근 제한 설정을 적용해야 한다.
WAS별 디렉터리 인덱싱 설정 비교
각 WAS는 디렉터리 인덱싱을 설정하는 방법이 다르다. IIS는 GUI를 통해, Apache는 설정 파일 수정을 통해, Tomcat은 web.xml 설정을 통해, NGINX는 nginx.conf 설정을 통해 제어한다. 반면, NGINX는 기본적으로 디렉터리 인덱싱이 비활성화되어 있어 안전한 설정을 제공한다.
상위 디렉터리 접근 제한, 어떻게 구현할까?
상위 디렉터리 접근 제한은 디렉터리 인덱싱을 허용해야 하는 경우 필수적인 보안 조치이다. IIS는 ASP 페이지 설정을 통해, Apache는 .htaccess 파일과 추가 인증을 통해, Tomcat과 NGINX는 사용자 정의 설정을 통해 구현한다. 따라서, 추가 인증을 통해 무단 접근을 방지해야 한다.
![[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한](https://static.devday.kr/thumbnails-w1200/netmarble-was-directory-indexing-and-restricting-access-to-parent-directory.webp)
