Predictable Resource Location

Predictable Resource Location는 숨겨진 웹 사이트 콘텐츠와 기능을 찾아내는 데 사용되는 공격 기술이다. 

 

공격자는 무차별 공격을 통해 정보에 기반한 추측으로 공개적으로 볼 수 없는 파일 및 디렉터리 이름을 추측할 수 있다. 

파일/경로에는 공통 명명 규칙이 있고 표준 위치에 상주하는 경우가 많기 때문에 파일 이름을 무차별 대입하는 것은 쉽다. 

여기에는 임시 파일, 백업 파일, 로그, 관리 사이트 섹션, 구성 파일, 데모 애플리케이션 및 샘플 파일이 포함될 수 있다. 

 

이러한 파일은 웹사이트, 웹 애플리케이션 내부, 데이터베이스 정보, 비밀번호, 컴퓨터 이름, 기타 민감한 영역에 대한 파일 경로 등에 대한 민감한 정보를 공개할 수 있다.

이는 추가적인 사이트 취약성을 초래할 수 있는 사이트 표면을 식별하는 데 도움이 될 뿐만 아니라 환경이나 사용자에 대한 귀중한 정보를 공격자에게 공개할 수도 있다. 

공격구문 - phpmyadmin/index.php 등

 

Predictable Resource Location는 Forced Browsing, Forceful Browsing, File Enumeration, and Directory Enumeration과 동일한 공격기법이다.