pile·
보안·넷마블netmarble·

[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한

문제웹 서버의 디렉터리 인덱싱이 켜져 있으면 폴더 구조와 백업·소스 파일이 외부에 노출되는 보안 취약점이 생긴다.

접근WAS별로 인덱싱을 끈다. IIS는 디렉터리 검색 비활성화, Apache는 Options Indexes 제거, Tomcat은 web.xml의 listings=false, Nginx는 autoindex off로 설정한다. 상위 디렉터리 접근은 .htaccess·auth_basic 기본 인증으로 차단한다.

결과초기 서버 환경 설정 단계에서 인덱싱 여부만 확인해도 노출 위험을 크게 줄인다. 기본 정책으로 인덱싱 off를 명시할 것을 권장한다.

넷마블
넷마블 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)
·takedown 요청

이 글과 비슷한

  1. 보안·베스핀글로벌베스핀글로벌·

    AI Paradox (2) | 보안 공격도 AI가 하는 시대, 기업 자산을 지키는 4가지 전략

    문제해커가 직접 공격하던 시대에서 AI 가 자동으로 취약점을 찾는 시대로 진화. 이미지 패턴·학습 데이터 오염·프롬프트 인젝션 등 신규 공격 표면.

    접근4단계 방어: 사내 AI·데이터 접근 현황 파악 → 배포 전 모의 해킹 → 실시간 입출력 필터링 → 24시간 모니터링. 더불어 승인 안 된 AI 도구 사용 통제, AI 에이전트에 사람과 동등한 신원·권한 관리.

    결과적대적 입력·데이터 포이즈닝·프롬프트 인젝션·과도한 권한 부여로 인한 내부 시스템 초기화 같은 사고를 사전 차단.

    #ai-security#threat-modeling#prompt-injection+2