관리의 편의성을 위하여 제공하는 아파치의 서비스인 디렉토리 리스닝이 취약점이 많아서 논란이 되기도 했습니다.
개인적으로 중요한 파일이 있는 서버가 아닌이상 저는 리스닝을 자주 쓰는 편입니다.(ftp 접속없이 디렉토리 구조 파악이 가능합니다.) 그런데 이것이 익명으로도 접속을 할 수 있기 때문에가 문제인 것이지요.
실제로 웹쉘이 설치된 서버를 찾기 위해서 구글에서 디렉토리 리스닝 검색을 통하여 알아내기도 합니다.
대부분의 중요 게임서버에서는 디렉토리 리스닝을 끄고 있는데, 끄지 않은 몇몇 서버가 해킹당한 사례를 잘 정리한 흥미있는 PDF 파일입니다.
'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글
Microsoft MHTML Protocol Handler XSS (CVE-2011-0096) (0) | 2011.02.02 |
---|---|
중국발 해킹의 발전과 대응 (0) | 2010.12.25 |
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례 (0) | 2010.10.13 |
OWASP 웹해킹 TOP 10 (0) | 2010.08.21 |
SQL Injection (0) | 2010.07.05 |