넷
넷마블
May 24, 20231회
[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한
![[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한](https://netmarble.engineering/wp-content/uploads/2023/05/preview-1.png)
간단 소개
WAS 디렉터리 인덱싱 취약점 해소 및 상위 디렉터리 접근 제한 설정 방법을 안내하여 WAS 보안 강화하는 방법을 제시합니다.
AI Summary
- 디렉터리 인덱싱 취약점의 위험성
- 디렉터리 인덱싱 활성화 시 WAS 구조, 백업 파일, 소스 파일 등 중요 정보 노출 위험이 있습니다.
- 공개적으로 많은 파일을 배포하는 경우가 아니라면 WAS의 디렉터리 구조 노출을 피해야 합니다.
- WAS별 디렉터리 인덱싱 해제 및 상위 디렉터리 접근 제한 방법
- IIS, Apache HTTP 서버, Tomcat, NGINX 등 각 WAS별 설정 파일 위치 및 디렉터리 인덱싱 비활성화 방법 안내합니다.
- 상위 디렉터리 접근 제한을 위해 ASP 페이지에서 상위 경로 허용 안 함, 추가 인증 체계 구현 등의 방법을 제시합니다.
- 디렉터리 인덱싱 설정 시 주의사항
- Apache HTTP 서버 외에는 기본적으로 디렉터리 인덱싱이 막혀 있지만, 방심하지 않고 설정 여부를 확인해야 합니다.
- 불필요한 디렉터리 인덱싱이 열려 있는지 확인하고, 기본 정책을 설정하여 보안을 강화해야 합니다.
Next Feeds
개발자가 업무 외에 회사에 기여할 수 있는 방법(feat. 척척박사 봇, 카카오페이 용어집)
카카오페이 개발자들이 카페톤을 통해 사내 용어집 문제를 해결하고, 슬랙봇 '척척박사 봇'을 개발하여 회사에 기여한 경험을 소개합니다.
카카오페이용어집슬랙봇카페톤척척박사 봇
2023. 5. 24.
카카오페이
Spring 기반 OAuth 2.1 Authorization Server 개발 찍먹해보기
Spring 기반 OAuth 2.1 Authorization Server 개발 경험 공유 및 Spring Authorization Server의 주요 기능과 설정 방법을 소개합니다.
OAuth 2.1Spring Authorization ServerClient Credentials Grant인가Spring Security
2023. 5. 22.
카카오페이
생성형 AI와 데이터 사이언스의 미래
생성형 AI가 데이터 사이언스에 미치는 영향과 미래 전망, 그리고 데이터 사이언티스트의 대응 전략을 제시합니다.
생성형 AI데이터 사이언스자동화LLM데이터 분석
2023. 5. 20.
네이버DnA팀
iOS ReactorKit 톺아보기
올리브영 앱에 ReactorKit을 도입한 배경, 핵심 개념, 사용법, 그리고 코드 간결성을 높이는 팁을 소개합니다.
ReactorKitRxSwiftMVVMReactiveXiOS
2023. 5. 20.
올리브영
AWS Lambda Image Resize 도입기
AWS Lambda를 활용하여 S3 이미지 리사이징을 구현하고, 효율적인 이미지 관리를 달성한 도입 사례를 소개합니다.
AWS LambdaS3이미지 리사이징트리거IAM 정책
2023. 5. 19.
올리브영
풀필먼트 입고 서비스팀에서 분산락을 사용하는 방법 - Spring Redisson
컬리 입고 서비스팀의 Redisson 기반 분산락 도입 및 AOP를 활용한 어노테이션 기반 분산락 컴포넌트 구현 사례와 효과를 소개합니다.
분산락Redisson동시성AOP트랜잭션
2023. 5. 17.
컬리