취약점 개요
점검내용
- IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검
점검목적
- ".."와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
보안위협
- 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
참고
- ".."는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함
점검대상 및 판단기준
대상
- Windows 2000, 2003, 2008, 2012
판단기준
- 양호 : 상위 패스 기능을 제거한 경우
- 취약 : 상위 패스 기능을 제거하지 않은 경우
* 조치 시 마스터 속성과 모든 사이트에 적용함
조치방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한, 쓰기 권한 제거 후 Administrators, System 그룹 추가(모든 권한)
점검 및 조치 사례
- Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트 > 속성 > 홈디렉토리 > 구성 > [옵션] 탭에서 "부모 경로 사용"의 체크박스 해제 확인
- Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리자 > 해당 웹사이트 > IIS > ASP 선택, "부모 경로 사용" 항목 "False" 설정 확인
조치 시 영향
- "../" 와 같은 상대경로를 사용하도록 하드 코딩되어 있는 애플리케이션의 경우 영향 있음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| 2. 서비스 관리 > 2.9 웹 프로세스 권한 제한 (0) | 2020.02.20 |
|---|---|
| 2. 서비스 관리 > 2.8 IIS 불필요한 파일 제거 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.6 IIS CGI 실행 제한 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.5 디렉토리 리스팅 제거 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.4 IIS 서비스 구동 점검 (0) | 2020.02.18 |
댓글