[bWAPP] robots.txt 파일 이해 및 실습

실습 환경 구축은 이 글에 설명되어있다. (https://rimystory.tistory.com/18)

 

robots.txt 파일: 페이지에 대한 접근 권한을 설정하는 파일. 웹 크롤러의 접근 범위를 설정하여 구글 검색에서 제외할 수 있다.

 

구글 해킹으로 검색되어 시스템 및 개인정보가 노출되는 것을 방지하려면 robots 파일을 홈 디렉터리에 생성하고 디렉터리 검색을 제한해야 한다. 하지만 만약 중요 디렉터리가 외부에 노출된다면 페이지에 대한 접근 권한 자체가 노출되어 역으로 공격받을 수 있다.

 

'sm_robots.php' 페이지에는 robots 파일이 노출되어 있다.

/admin/, /passwords/ 와 같은 중요 디렉터리가 노출되어 있다.

 

passwords 디렉터리에 접근해보면 디렉터리 권한 설정 미흡으로 중요 정보가 웹에 노출되고 있는 것을 볼 수 있다.

 

wp-config.bak 파일을 다운로드하여 열람해본다.

데이터베이스 접속 정보가 평문으로 노출되고 있다.

 

이번에는 /admin 디렉터리에 접근해본다.

관리자 계정 bee/bug와 내부 IP정보, 서버 정보들이 노출되고 있다.

 

결론: robots.txt 파일은 외부에서 크롤링이나 정보 노출을 방어하는데 사용하지만, 페이지에 인증처리를 먼저 해주지 않으면 역으로 공격당할 수 있다.