본문 바로가기
Learning/└보고서

Googling Report

Gopzero 2016. 12. 10. 19:00

 

구글링 보고서

 

 

구글링

위키백과, 우리 모두의 백과사전.

구글링(Googling→구글로 검색하기)이란 전 세계적으로 유명한 포털사이트인 구글(Google)에 -ing 를 붙여 만든 단어로, "구글로 정보를 검색한다"라는 뜻을 가지고 있다. 영어권에서도 구글이라는 말을 이 같은 뜻의 동사로 사용한다. 정확하고 뛰어난 검색력으로 인해 '구글링한다' 라는 말이 일반명사화 되었지만, 개인의 신상정보 노출 등 문제도 심각하다.[1] 이름 하나로도 학교와 집주소, 심지어 전화번호까지 알아낼 수 있기 때문이다. 방대한 정보를 저장하는 메타데이터를 구글의 검색로봇이 자료를 수집한다. 다양한 부가 검색 기능, 검색 결과의 질 면에서 구글은 다른 어떤 사이트보다 좋은 평가를 받고 있으며 이는 구글의 경쟁력이다. 하지만, 동시에 이러한 '강력한 검색' 결과가 개인정보 노출이라는 부작용을 낳고 있기도 하다.

 

 

구글을 이용한 정보수집 (GHDB)

-GHDB : 구글 검색 엔진을 이용하여 정보를 수집하는 방법(특정 사이트에 검색 키워드가 데이터베이스화 되어 있다.)

 

EX)

  1. 관리자 페이지 검색
    inuri:admin site:co.kr
  2. 소스 코드 노출 검색
    intitle:index.of/home inurl:co.kr
  3. 특정 데이터/파일 검색 및 디렉토리 검색
    intitle:"index of" intext:이력서
    intitle:index.of intext:passwd.txt
    index.of"Parent Directory"
  4. 특정 파일 형식 검색
    site:com filetype:pdf ccna dump
  5. 웹-서버 검색
    intilte:test.page "Hey, it worked !" "SSL/TLS-aware"

참고

http://www.exploit-db.com/google-dorks/

 

< GHDB를 활용한 취약성 점검 >

 

세부점검 항목

파일다운로드

대상

구글링

취약점 개요

- .bak, .back, .org, .orgin, log등 웹 서버의 업데이트시 불필요한 백업파일을 삭제하지 않고 보관하여 사용자에게 중요문서의 백업파일을 노출

- 게시판 등에 저장된 자료에 대해 위치 지정에 대한 제한을 부여하지 않아 웹 서버 내의 비공개 자료를 다운로드 받을 수 있는 취약점

위험 영향

- .bak 파일의 존재는 소스의 비공식적 공개로 소스유출 및 .dll과 같은 모든 파일이 바로 다운로드되어 자료유출을 야기

공격형태

- 무작위로 filetype 과 확장자 검색을 통해 파일 다운로드 페이지 접근으로 다운로드 시도

점검방법

!Hint: filetype:bak

 

조치방안

- 홈페이지 수정 시 파일편집기를 사용하면 백업파일(.bak)이 자동 생성되며, 수정 작업 후 이를 반드시 삭제

- 웹 디렉터리와 다른 곳에서 백업본을 생성하여 소스수정 후 소스만 업로드 형태로 작업

- 첨부파일이 저장되어 있는 특정 디렉토리에 있는 파일만을 다운 받을 수 있도록 하기 위해 다운로드 스크립트를 수정

 

 

취약점 시나리오

취약점 시나리오1

intitle:index.of inurl:co.kr 검색을 통한 취약성 점검(Directory Listing)

 

 

 

 

 

 

취약점 시나리오2

intitle:관리자 inurl:/admin filetype:html site:net 검색을 통한 취약성 점검(관리자 로그인 취약)

 

 

대응 방안

- robots.txt 라는 것으로 웹 사이트의 전부나 그 일부(특정 부분)의 접근을 제한

 

- 서버관리자는 자신이 운영하는 사이트 url 뒤에 디렉터리 부분을 추가하여 접속 후 디렉터리 목록이 나타난다면 취약점이 존재하는 것이기 때문에 Directory Listing 기능을 해제(리눅스 : vi httpd.conf --> indexes라는 단어 삭제, 윈도우 : IIS 메뉴 --> 기본 웹사이트 등록정보에서 홈 디렉토리 --> 디렉토리 검색 부분 체크 해제 )

 

 

참조 사이트

1) http://cafe.naver.com/ehakorea/4891

2) http://terms.naver.com/entry.nhn?docId=860324&cid=42346&categoryId=42346

3) http://mooreunself.tistory.com/37

 

 

 

 

저작자표시 비영리 변경금지

'Learning > └보고서' 카테고리의 다른 글

Shell Scripts Report Ⅱ  (0) 2016.12.11
Shell Scripts Report  (0) 2016.12.11
Bash Shell Bug Report  (0) 2016.12.10
보고서 제출 단계  (0) 2016.12.10

'Learning/└보고서' Related Articles

티스토리툴바