취약점 개요
점검내용
- IIS CGI 실행 제한 설정 여부 점검
점검목적
- CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함
보안위협
- 게시팜이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음
참고
- CGI(Common Gateway Interface) : 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이터처리프로그램에 전달하고 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램
- 일반적으로 기본 CGI 디렉토리(C:\inetpub\scripts)는 사용하지 않음
점검대상 및 판단기준
대상
- Windows 2000, 2003, 2008, 2012
판단기준
- 양호 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되지 않은 경우
- 취약 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되어 있는 경우
*조치 시 마스터 속성과 모든 사이트에 적용함
조치방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한, 쓰기 권한 제거 후 Administrators, System 그룹 추가(모든 권한)
점검 및 조치 사례
- Windows 2000(IIS 5.0), 2003(IIS 6.0), 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 탐색기 > 해당 디렉토리 > 속성 > 보안 (기본 CGI 디렉토리 위치 C:\inetpub\scripts)
Step 2) Everyone 의 모든 권한, 수정 권한, 쓰기 권한 제거
* IIS 초기 구축시에는 scripts 폴더가 생성되지 않을 수 있음
조치 시 영향
- 해당 디렉토리 확인 후 추가적인 파일이 없다면 영향 없음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| 2. 서비스 관리 > 2.8 IIS 불필요한 파일 제거 (0) | 2020.02.19 |
|---|---|
| 2. 서비스 관리 > 2.7 IIS 상위 디렉토리 접근 금지 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.5 디렉토리 리스팅 제거 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.4 IIS 서비스 구동 점검 (0) | 2020.02.18 |
| 2. 서비스 관리 > 2.3 불필요한 서비스 제거 (2) | 2020.02.18 |
댓글