관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

OSINT Analysis

공개 출처 정보 분석 기법

NGINX 웹 서버 설정 파일 노출 취약점 사례

NGINX 웹 서버 설정 파일 노출 취약점 사례
NGINX 웹 서버의 설정 파일 이름은 “nginx.conf” 이며 Criminal IP의 Asset Search 기능으로 설정 파일 검색 가능

NGINX 웹 서버 설정 파일 노출 취약점 사례
검색 결과 nginx 웹 서버에 디렉터리 인덱싱 취약점이 있는 사이트만 조회 된 결과를 확인할 수 있음

NGINX 웹 서버 설정 파일 노출 취약점 사례
검색 된 사이트에 접속 결과 디렉터리 구조와 설정 파일들이 웹 상에 전부 노출되고 있음을 확인할 수 있음

NGINX 웹 서버 설정 파일 노출 취약점 사례
NGINX 설정 파일은 여러 조건으로 검색이 가능한데 HTML Title 제목에 “Nginx UI” 문구로 검색하여 찾아낼 수 있음

NGINX 웹 서버 설정 파일 노출 취약점 사례
검색 결과 nginx 웹 서버에 설정 파일을 관리할 수 있는 Nginx UI 페이지가 노출 됨을 확인

NGINX 웹 서버 설정 파일 노출 취약점 사례
노출 된 사이트에 접속하면 설정 값을 그대로 확인할 수 있고 공격자가 직접 설정 값을 변경할 수도 있는 심각한 상태