Security Misconfiguration

CVSS Score

7.2

high

불필요한 기능 활성화, 기본 계정·비밀번호 사용, 상세 에러 메시지 노출 등 잘못된 보안 설정으로 인한 취약점입니다.

💥 공격 시 영향

스택 트레이스로 내부 구조·파일 경로 노출
X-Powered-By 헤더로 서버 기술 스택 노출
Path Traversal로 서버 소스코드 열람

🎯 이 사이트에서 실습하기

Path Traversal

서버 소스코드 다운로드

실습 페이지 →

에러 스택 노출

상세 스택 트레이스 노출

실습 페이지 →

💻 취약 코드 vs 안전한 코드

❌ 취약한 코드

// ❌ 취약: 경로 검증 없는 파일 다운로드
const filePath = path.join(__dirname,
  '../public/uploads/', filename);
// ?file=../../app.js → 소스코드 노출

// ❌ 취약: 스택 트레이스 노출
res.status(500).render('error', {
  stack: err.stack // 내부 경로, 코드 구조 노출
});

✅ 안전한 코드

// ✅ 안전: 경로 정규화 후 허용 디렉토리 검증
const safePath = path.resolve(__dirname, '../public/uploads/', filename);
const uploadDir = path.resolve(__dirname, '../public/uploads/');
if (!safePath.startsWith(uploadDir)) {
  return res.status(403).send('접근 금지');
}

// ✅ 안전: 프로덕션에서 에러 상세 숨김
if (process.env.NODE_ENV === 'production') {
  res.status(500).render('error', { message: '서버 오류가 발생했습니다.' });
} else {
  res.status(500).render('error', { message: err.message, stack: err.stack });
}

🛡️ 대응 방안

프로덕션 환경에서 NODE_ENV=production 설정
X-Powered-By 헤더 비활성화 (app.disable("x-powered-by"))
Path Traversal: path.resolve() 후 기준 디렉토리 포함 여부 확인
불필요한 관리 엔드포인트 제거, 기본 계정 변경

📚 참고 자료

OWASP A05:2021 CWE-200: Exposure of Sensitive Information CWE-22: Path Traversal

← 이전 A04 목록 다음 → A06