안녕하세요. 더 넓은 IT를 위한 WIDE Network! 입니다.
이번 포스팅에서는 디렉토리 리스닝에 대해서 다루어보도록 하겠습니다.
Directory listing 취약점이란 무엇일까요?
바로 공격자가 타켓 서버의 디렉토리를 무단으로 볼 수 있는 취약점입니다.
이게 왜 중요한 취약점인지에 대해서 잠깐 알아보도록 하겠습니다.
대부분의 해커들은 요즘에는 웹 서버를 공격하는데요,
DB(Database)를 취득하기 위해서 인 경우가 대부분이고, 직접적으로 Web 서버를 해킹하게 될 경우 시스템까지 컨트롤이 가능하기 때문입니다.
예전에는 시스템,네트워크 취약점을 이용하여 해킹하는 경우가 대부분이였으며 요즘에는 대부분이 웹을 통해서 접근합니다.
현재도 중대서버나 대규모서버는 여전히 제로데이를 발견하고 익스플로잇을 코딩하여 뚫고 들어가는 경우가 많습니다.
예를 들어서 제가 MIT 공대의 서버에 무엇이 있는지 보고싶습니다.
그런데 서버의 보안때문에 볼 수가 없네요.
서버 내부에는 서버 접속 ID/PW와 학생들의 전화번호,개인정보들이 담긴 DB도 있을텐데요.
이 때, 만약 서버에 디렉토리 리스닝 취약점이 존재한다면?
손 쉽게 학생들의 개인정보를 손에 넣을 수 있겠죠?
해당 디렉토리에 접근하여 리스닝한다는 개념으로 보시면 되겠습니다.
그러나 이것은 아주 기초적인 취약점으로 대부분의 서버에서는 막혀있습니다.^^
