디렉토리 탐색(경로 탐색이라고도 함)은 웹 서버와 웹 애플리케이션의 취약점을 악용하는 사이버 공격 방법입니다.
일반적으로 웹 서버 관리자는 사용자가 접근할 수 있는 루트 디렉토리를 지정하여 사용자가 접근할 수 있는 파일을 특정 하위 디렉토리로 제한합니다. 그러나 파일 이름이나 경로를 지정하는 사용자 제공 입력이 적절하게 처리되지 않으면 공격자는 "../"와 같은 특수하게 조작된 시퀀스를 악용하여 상위 디렉터리로 이동할 수 있습니다. 이러한 취약점을 악용하여 악의적인 사용자가 의도한 디렉토리를 벗어나 중요하거나 숨겨진 파일과 디렉토리에 무단으로 액세스할 수 있으며, 잠재적으로 정보 공개나 시스템 손상으로 이어질 수 있습니다.
디렉토리 트래버설 공격을 방지하려면 웹 관리자는 애플리케이션 스크립트에서 액세스할 수 있는 디렉토리를 제한하는 등의 보안 조치를 구현해야 합니다(예: PHP "php.ini" 파일에서 'open_basedir' 설정을 구성하여 파일 포함 경로를 제한). Apache와 같은 웹 서버를 사용하는 경우 디렉토리 목록을 방지하려면 "httpd.conf" 파일에서 "인덱스" 옵션을 제거하거나 비활성화하는 것이 중요합니다. 디렉토리 목록을 통해 공격자는 디렉토리의 내용을 볼 수 있으므로 명명 패턴이 노출되고 추가적인 악용 시도가 용이해집니다.
또한, 디렉토리 트래버설 공격은 WAF(웹 애플리케이션 방화벽)를 사용하면 효과적으로 완화할 수 있습니다. F5는 F5 BIG-IP Application Security Manager(ASM) 에서 강력한 WAF 기능을 제공하며, 이는 경로 횡단 및 유사한 웹 취약점으로부터 보호하는 데 도움이 됩니다.