정보보안(구버전)/ bWAPP 2019. 2. 16. 13:15
웹 해킹 bWAPP - 79. A5 - Security Misconfiguration - Robots File
본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다.
1. Security Misconfiguration
- OWASP Top10 A5 - 잘못된 보안 구성
- 서버/시스템/DB/네트워크 장비/웹 설정 요류로 인하여 발생하는 취약점이다.
- Ex) 디렉토리 리스팅, 에러페이지, 웹페이지 주석, 웹서버 기본 설정, Adobe Flash 취약점, DoS/DDos 공격,
특정 서비스에 대한 Reverse_TCP 공격, 로컬 권한 취약점, 백업/임시/robots 파일
2. 'robots.txt'
- 검색 엔진을 통해서 정보를 검색하는 것을 제어할때 사용하는 파일이다.
- 만약, 중요한 디렉토리, 파일들이 검색이 된다면, 디렉토리 리스팅에 의해서 정보가 노출되는 문제가 발생한다.
- 또한, 'robots.txt' 파일은 웹-서버 홈 디렉터리에 생성하고 관리해야 한다.
- 명령어 형식은 다음과 같다.
|
형식 |
내용 |
|
User-agent : * |
모든 검색 엔진 |
|
User-agent: googlebot |
구글 검색 엔진 |
|
Allow: / |
모든 디렉토리 접근 허용 |
|
Disallow: abc.ini |
'abc.ini' 파일 검색 차단 |
|
Disallow: /admin/ |
'admin' 디렉터리 접근 차단 |
|
Disallow: |
사이트 크롤링 가능 |
79-0. 블로그 robots.txt URL.txt블로그 'robots.txt' 확인
① 모든 봇들은 /owner, /manage, /admin, /oldadmin, /search, /m/search, /m/admin, /like 디렉토리 접근이 불가능하다.
② 그 외 나머지 디렉토리는 접근이 가능하다.
③ 'Mediapartners-Google' 봇은 모든 디렉토리 접근이 가능하다.
3. 크롤링
- 웹 페이지 내용을 이용하여 문서 또는 파일 정보를 추출/검색하는 기능이다.
- 또한, 웹 상의 다양한 정보를 자동으로 검색하고 색인하기 위해 사용한다.
4. Security Misconfiguration - Robots File
- 이 시나리오는 bWAPP의 'robots.txt' 파일 내용을 확인하는 내용이다.
Ex1) Security Misconfiguration - Robots File 이해
보안 레벨 선택 및 시나리오 선택
bWAPP 'robots.txt' 파일 내용 출력
bWAPP 'robots.txt' 파일 내용 확인
① 'GoodBot' 봇은 사이트 크롤링을 가능하다.
② 'BadBot' 봇은 모든 디렉토리 접근이 불가능하다.
③ 모든 봇들은 /admin/, /documents/, /images/, /passwords/ 디렉토리 접근이 불가능하다.
/admin 디렉토리 내용 확인
/documnets 디렉토리 내용 확인
/images 디렉토리 내용 확인
/passwords 디렉토리 내용 확인
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
웹해킹 79. A5 - bWAPP Security Misconfiguration - Robots File https://youtu.be/xT5-zAww45Y
