[OWASP] 보안 정책(Security Policy)

20_보안 정책(Security Policy)

난이도 : ★★

취약점 유형

• 기타(Miscellaneous)

문제 설명

• 활동에 참여하기 전에 "화이트햇"이라면 마땅히 해야 할 행동을 하십시오.

힌트

• 이 과제는 윤리적 해커처럼 행동하도록 요구합니다.
• 당연히 애플리케이션에 대한 조사를 진행하기 전에 보안 정책을 읽어보셔야 할 것입니다.
• 선의의 해커로서 소유자의 동의 없이 애플리케이션을 공격하시겠습니까?
• 보안 정책이나 버그 현상금 프로그램 등을 살펴보는 것도 도움이 될 수 있습니다.

Technical Note

• security.txt 는 RFC 기반의 보안 정책 공개 표준 파일임

• 웹사이트 운영자는 해당 파일을 통해 취약점 제보 연락처 및 보안 정책 정보를 공개 가능함

• .well-known/ 디렉터리는 공개 메타데이터 제공을 위한 표준 경로로 사용됨
• 파일 내부에는 보안 담당 이메일, 공개키, 지원 언어, CSAF 정보 등이 포함되어 있었음
• 보안 연구자나 자동화 도구가 해당 파일을 통해 보안 정책 정보를 쉽게 수집 가능한 구조였음
• 이를 토대로 해킹이라기보다 표준 보안 메타데이터 파일을 발견할 수 있는가에 대한 학습용으로 추측됨

대응방안

• 운영 환경에서는 최신 보안 연락처 및 정책 정보 유지 필요함
• 공개 가능한 정보 범위를 최소화하여 불필요한 정보 노출 방지 필요함
• security.txt 파일 유효기간 및 정책 정보를 정기적으로 검토·갱신 필요함

풀이 과정

OWASP Juice Shop GitHub 저장소 내 보안 정책(Security.md)문서에서 security.txt 표준을 준수하고 있다는 설명을 함

 

문서에 언급된 securitytxt.org 공식 사이트 접속하여 security.txt 파일의 목적 및 표준 형식 확인함

 

공식 문서 내 https://example.com/.well-known/security.txt 예시 경로를 통해 .well-known/security.txt 경로에 보안 정책 파일이 위치한다는 점 확인함

 

이를 바탕으로 내 호스트 known/security.txt 경로 접근 결과, 보안 정책 정보가 포함된 security.txt 파일을 확인함

 

결과

security.txt 파일이 정상적으로 노출되는 것을 확인하여 과제를 해결함