애플리케이션 정보 노출

버전 번호, 데이터베이스 오류 메시지, 스택 추적 등 애플리케이션 정보 노출 여부를 확인하는 검사에 대한 설명과 해결 방법.

설명 # 애플리케이션 정보 노출 검사입니다. 버전 번호, 데이터베이스 오류 메시지, 스택 추적 등의 정보가 포함됩니다. 해결 방법 # 애플리케이션 정보 노출은 애플리케이션이 웹 애플리케이션 또는 환경의 기술적 세부 정보와 같은 민감한 데이터를 노출하는 애플리케이션 취약점입니다. 애플리케이션 데이터는 공격자가 대상 웹 애플리케이션, 해당 호스팅 네트워크 또는 사용자를 공격하는 데 사용될 수 있습니다. 따라서 민감한 데이터의 노출은 가능한 한 제한하거나 방지해야 합니다. 정보 노출은 가장 일반적인 형태로, 다음 조건 중 하나 이상의 결과입니다: 민감한 정보가 포함된 HTML 또는 스크립트 주석을 제거하지 못하거나 부적절한 애플리케이션 또는 서버 구성이 원인입니다. 프로덕션 환경에 푸시하기 전에 HTML 또는 스크립트 주석을 제거하지 않으면 서버 디렉터리 구조, SQL 쿼리 구조, 내부 네트워크 정보와 같은 민감한 컨텍스트 정보가 노출될 수 있습니다. 개발자는 종종 프리 프로덕션 단계에서 디버깅 또는 통합 프로세스를 용이하게 하기 위해 HTML 및 스크립트 코드 내에 주석을 남기곤 합니다. 개발자가 개발하는 콘텐츠 내에 인라인 주석을 포함하는 것 자체는 문제가 없지만, 이러한 주석은 모두 콘텐츠를 공개하기 전에 제거해야 합니다. 소프트웨어 버전 번호 및 상세 오류 메시지(예: ASP.NET 버전 번호)는 부적절한 서버 구성의 예입니다. 이 정보는 웹 애플리케이션에서 사용되는 프레임워크, 언어 또는 미리 빌드된 함수에 대한 자세한 통찰을 제공하여 공격자에게 유용합니다. 대부분의 기본 서버 구성은 디버깅 및 문제 해결 목적으로 소프트웨어 버전 번호와 상세 오류 메시지를 제공합니다. 이러한 기능을 비활성화하고 이 정보가 표시되지 않도록 구성을 변경할 수 있습니다. 링크 # OWASP CWE