Directory Browsing 취약점 및 탐지 실습

1. Directory Browsing 이란?

- 디렉터리 브라우징, 디렉터리 리스팅이라고 불림

- 보안 설정으로 활성화, 비활성화 가능

- 활성화(보안 레벨 LOW)된 경우 웹 서버 디렉터리 목록을 노출

- 디렉터리 안에 중요 정보가 있다면 매우 심각한 취약점임

2. 스노트 규칙을 이용한 Directory Browsing 탐지 실습

[그림 2-1] local.rules

Security Onion을 실행해 /etc/nsm/rules 폴더로 이동한 후 vim을 활용해 local.rules를 실행한다.

[그림 2-2] 스노트 규칙 작성

local.rules 파일에 스노트 규칙을 작성한다. 웹 서버 주소에서 외부 아이피 주소로 전달해주며 메시지는 Directory Browsing Vuln으로 출력되며 index of / 와 관련된 내용이 탐지되고, 공격 형태는 web-application-attack이다.

[그림 2-3 rule-update]

local.rules 파일 저장 후 스노트 규칙을 업데이트한다. Fail이 출력되면 스노트 규칙 적용이 안되기 때문에 OK가 나올때까지 스노트 규칙을 수정 해야 한다.

[그림 2-4] rule-set 업데이트

rule-update만 하게 되도 스노트 룰 적용이 안될 수 있기 때문에 rule-set도 같이 업데이트 한다. 모두 OK가 나오면 스노트 규칙이 정상적으로 적용된 것이다.

[그림 2-5] sguil 실행

스노트 규칙 적용 후 sguil을 실행한다. sguil을 통해 디렉터리 리스팅 취약점이 탐지된다.

[그림 2-6] DVWA 디렉터리 리스팅 

칼리리눅스로 돌아와 DVWA를 실행한다. DVWA는 metasploitable 2 환경이기 때문에 metasploitable 2도 같이 실행해야 DVWA가 실행된다. 한가지 주의해야 할 점은 DVWA 보안 강도를 LOW로 설정한 후 진행해야 한다. HIGH로 설정하면 디렉터리 리스팅이 화면에 나타나지 않는다. 설정을 끝낸 후 IP/dvwa/vunerablities/를 입력하면 그림 2-6와 같이 웹 서버 디렉터리가 출력된다.

[그림 2-7] 디렉터리 리스팅 탐지

Sguil에서 디렉터리 리스팅을 탐지해낸 것을 볼 수 있다. 

[그림 2-8] 스노트 규칙

그림 2-2에서 적용 했던 스노트 규칙이다. content에 입력한 index of / 내용과 관련된 파일이 존재하기 때문에 탐지된 것이다.