[웹 취약점] 소스코드 내 중요정보 노출 취약점

 

소스코드 내 중요정보 노출 취약점

소스코드 내 중요정보 노출 취약점이란 웹 페이지의 소스코드 또는 주석문에 민감한 정보(개인정보, 시스템 정보 등)가 배포 후에도 제거되지 않아 외부에 노출되는 보안 취약점을 말합니다.

 

위의 사진을 보면 어떤 DB를 사용하는지와 IP주소, port 번호, 유저명, 비밀번호, DB이름까지 하드코딩되어 있는 것을 확인할 수 있습니다.

 

보안 위협

• 소스코드 내 존재하는 정보를 통해 추가적인 공격이 가능해집니다.

 

대응방안

• 개발 완료 시 소스코드와 주석, 디버깅 코드 내 민감한 정보를 제거합니다. 그리고 정기적으로 이러한 정보가 있는지 점검해야 합니다.
• 비밀번호, 암호화 키, API 주소 등 중요 정보는 별도의 보안 저장소에 저장하고 권한 설정을 통해 관리합니다.
• 소스코드 노출이 발생할 수 있는 백업 파일, 로그 파일 등 불필요한 파일을 삭제합니다. 마찬가지로 정기적으로 점검해야 합니다.

 

Reference

• 한국과학기술정보연구원, 웹 어플리케이션 취약점 분석