정보 누출 (IL)

정보 누출 (IL)

 

- 웹 어플리케이션의 민감한 정보가 개발자의 부주의로 인해 노출되는 것으로 중요 정보(관리자 계정 및 테스트 계정 등)을 주석 구문에 포함시켜 의도하지 않게 정보가 노출되는 취약점이다.

 

판단기준

 

양호 : 에러페이지 별도 지정

취약 : 에러페이지 X +중요정보 노출

 

정보 누출 대응방안

 

- 사용자에게 스택 추적정보 및 디버그 정보 제공금지

- Html소스는 쉽게 접근가능하기 때문에 중요내용은 hidden값이나 주석값으로 기입금지

- 에러 메시지를 바로표시하지 않고 특정 URL로 리다이렉트 하도록 수정

- 헤더에 서버 정보가 보이지 않도록 설정

- IIS 에러 페이지 설정