이번 CIP 블로그에서는 Criminal IP를 활용하여 노출된 NGINX 설정 파일 을 탐색하는 방법을 알아보고자 한다.
NGINX 설정 파일 이란?
NGINX는 웹 서버의 종류 중 하나로 Apache와 함께 가장 많이 사용되는 서버이기도 하다. 특히나 현재 가장 트래픽이 많은 사이트인 넷플릭스나 드롭박스 등 열거하기도 힘들 정도로 많은 유명 사이트들이 NGINX를 이용하고 있다. NGINX의 설정 파일은 NGINX 서버를 설정하는 형태에 대한 가이드가 적힌 파일로, 해당 서버에 대한 정보가 포함되어 있는데 여기에는 해킹의 단서가 될 민감한 정보가 포함되어 있을 수도 있다.
NGINX 웹 서버의 기본 설정 파일명은 “nginx.conf“이며 Asset Search에서 해당 키워드를 검색하여 설정 파일을 찾을 수 있다. 특히 “nginx.conf” 키워드에 “title: index of” 필터를 추가하여 검색하면, 아래 이미지처럼 디렉터리 인덱스 취약점이 있는 사이트에서 nginx.conf 파일을 찾을 수 있다.
NGINX 설정 파일 관리 도구 찾는 방법
NGINX 설정 파일은 여러 방식으로도 검색이 가능한데, HTML Title 제목에 ‘Nginx UI’라는 문구가 포함된 사이트를 검색하면, 웹에서 NGINX 웹 서버의 여러가지 설정 파일을 관리할 수 있는 NGINX UI 페이지가 확인된다.
이렇게 찾은 케이스의 경우 더욱 더 크리티컬한 사실은, 단순히 정보가 유출되는 것 뿐만 아니라 심지어 이 설정값을 변경하여 적용할 수도 있다는 점이다. 서브 메뉴 ‘Main Config’를 클릭하면 NGINX 웹 서버의 설정 파일(nginx.conf)을 확인하고, 설정 값을 변경할 수도 있다.
유명한 인터넷 서비스 회사를 포함하여 수많은 사람들이 NGINX 서버를 사용하고 있는 만큼, NGINX 서버는 늘 해커의 주요 타겟이 되고 있으며 실제로 노출된 취약점을 통해 공격당한 사례를 쉽게 찾아볼 수 있다.
따라서 관리하고 있는 NGINX 웹서버의 여러가지 설정파일들이 실수로 노출되어 있진 않은 지 점검하는 것은 가장 기본적이면서도 우선시되어야 하는 보안 수칙이다.
NGINX를 사용하여 구축된 웹 서버만 탐색하는 방법을 알고 싶다면, product 필터 활용법에 대해 소개하고 있는 Product filter 를 이용하여 공격표면에 노출된 어플리케이션 탐지 포스팅을 참고하면 된다.
데이터 출처 : Criminal IP (https://www.criminalip.io)
관련 글:
댓글 남기기