Apache설정 중 발생할 수 있는 보안 오류와 Path Traversa취약점

보안 오류 시나리오.

• VirtualHost, MainHost의 여부와 상관없이, DocumentRoot를 최상위(/)로 설정하는 것.
  Host에 대한 설명은 다음 링크 참고*(link)
• <Directory />에 대한 Require을 all grated로 주는 것(+Indexes FollowSymLinks까지 주면 환상..)

즉 사용자가 서버의 최상위Dir에 접속할 수 있는 경우이다.

이는 서버 작업 중 편의를 위해 설정할 수 있으나, 반드시 실제 배포시에 수정되어야할 설정이다.

DocumentRoot만 잘 설정해주어도 발생할 염려가 적다.

 

 

이 Directory관련한 일반적인 보안 이슈는 Path Traversa이다.

이는 사용자가 파일을 요청할 때 상대경로를 이용하여 파일을 요청하는 것으로, DocumentRoot를 잘 설정하는 것과는 또 다른 문제이다.

이는 경로 표현문자를 규제하는 방법으로 방어할 수 있다.