취약점 개요
점검내용
- 웹서버 디렉토리 리스팅 차단 설정 여부 점검
점검목적
- 웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여 불필요한 파일 정보 노출을 차단하기 위함
보안위협
- 웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음
참고
- 디렉토리 리스팅 취약점 : 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점
점검대상 및 판단기준
대상
- Windows 2000, 2003, 2008, 2012
판단기준
- 양호 : "디렉토리 검색" 체크하지 않음
- 취약 : "디렉토리 검색" 체크함
* 조치 시 마스터 속성과 모든 사이트에 적용함
조치방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 디렉토리 검색 체크 해제
점검 및 조치 사례
- Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 속성 > 홈 디렉토리
Step 2) "디렉토리 검색" 체크 해제
- Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹 사이트 > IIS > "디렉토리 검색" 선택 후 "사용 안 함" 선택
조치 시 영향
- 일반적인 경우 영향 없음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| 2. 서비스 관리 > 2.7 IIS 상위 디렉토리 접근 금지 (0) | 2020.02.19 |
|---|---|
| 2. 서비스 관리 > 2.6 IIS CGI 실행 제한 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.4 IIS 서비스 구동 점검 (0) | 2020.02.18 |
| 2. 서비스 관리 > 2.3 불필요한 서비스 제거 (2) | 2020.02.18 |
| 2. 서비스 관리 > 2.2 하드디스크 기본 공유 제거 (0) | 2020.02.18 |
댓글