wonder
정보보안 스터디 - 35주차 6일 - 이행 점검 마무리1 본문
정보 누출
elb2.0은 직접적인 서버 정보는 아니니 심각하게 취약하다고 보기가 어렵습니다.
microsoft-httpapi/2.0 도 IIS이긴 하지만 취약하다고 보기 어렵지만 서버 헤더 정보는 제거하기 쉬우니 남겨둡니다.
apache-coyote/1.1 톰캣 8.0 이하에서 뜨는 부분이고, 8.5 이상에서는 Server 속성에 포함시키지 않는 것이 기본값이므로 어느정도 버전 예측이 가능합니다. 취약입니다.
403 forbidden은 사람마다 다르며 애매합니다. 정말 애플같이 보안철저한 곳에서는 403이 중요 리소스가 있으니 예측불가하도록 취약하다고 보고 남겨두지 않습니다.
+이행점검 시 해야할 마무리
DoA 점수 매기고 -> 담당자 입장에서 단/중/장기 초기계획이 필요합니다.
엑셀 위험평가
'Red Team > 프로젝트 관련' 카테고리의 다른 글
| 정보보안 스터디 - 36주차 6일 - 이행점검 마무리3, 점검 예정 항목 (0) | 2023.06.21 |
|---|---|
| 정보보안 스터디 - 36주차 5일 - 이행점검 마무리2 (0) | 2023.06.20 |
| 정보보안 스터디 - 34주차 7일 - 이행 점검 및 리뷰3 (0) | 2023.06.07 |
| 정보보안 스터디 - 34주차 2일 - 이행 점검 및 리뷰2 (0) | 2023.06.03 |
| 정보보안 스터디 - 34주차 1일 - 리뉴얼 재점검 (0) | 2023.06.01 |
'Red Team/프로젝트 관련' Related Articles
more
Comments