특정 URL 입력하면 바로 디렉토리에 접근 가능해
관리자, 아파치 업데이트만 해도 취약성 막을 수 있어
국내 파일공유 사이트인 애플파일(applefile.com) 사이트의 디렉토리 노출 취약성이 발견됐다. 디렉토리에 접근시 애플파일은 사용자 권한을 요구하지 않고 바로 특정 URL을 입력하면 바로 접근이 가능한 상황이다.관리자, 아파치 업데이트만 해도 취약성 막을 수 있어
해당 취약성을 발견한 안용중학교 3학년 김동완 학생은 “구글 명령어를 이용해 site: Index를 찾았다. 다른 P2P 사이트와는 달리 애플파일 사이트는 디렉토리 접근에 아무런 권한도 필요치 않았다”며 “디렉토리가 노출될 경우 소스노출 및 어플리케이션 소스와 해당 디렉토리의 파일정보를 획득할 수 있다”고 주의를 당부했다.
또 “이 문제를 해결하기 위해서는 해당 사이트 담당자가 아파치 버전 업데이트만 해도 취약성은 막을 수 있다”고 밝혔다.
이러한 디렉토리 노출은 사용자들에게 어떤 피해를 줄 수 있을까. 악의적 공격자들에게 디렉토리가 노출되면 소스노출과 어플리케이션 등 다양한 정보 획득이 가능해 크래킹 시도를 할 때 도움을 줄 수 있다. 즉 관리자 권한 획득과 회원정보 유출까지 이어질 수 있어 신속한 수정이 요구된다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지