취약점 개요
점검내용
- IIS 파일 업로드 및 다운로드 제한 설정 여부 점검
점검목적
- 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함
보안위협
- 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음
참고
- IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요
점검대상 및 판단기준
대상
- Windows NT, 2000, 2003, 2008, 2012
판단기준
- 양호 : 웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는 경우
- 취약 : 웹 프로세스의 서버 자원을 관리하지 않는 경우 (업로드 및 다운로드 용량 미 제한)
조치방법
- 파일 업로드 및 다운로드 용량을 허용할 수 있는 최소 범위로 설정
점검 및 조치 사례
- Windows NT, 2000, 2003
Step 1) 시작 > 실행 > SERVICES.MSC > IISADMIN > 속성 > [일반] 탭에서 서비스 중지
Step 2) %systemroot%\system32\inetsrv\MetaBase.xml 파일을 찾아 편집기로 OPEN
Step 3) AspMaxRequestEntityAllowed 값을 찾아 파일 업로드 용량을 최소 범위로 제한
Step 4) AspBufferingLimit 값을 찾아 파일 다운로드 용량을 최소 범위로 제한
Step 5) 시작 > 실행 > SERVICES.MSC > IISADMIN > 속성 > [일반] 탭에서 서비스 시작
- windows 2008, 2012
Step 1) 등록된 웹 사이트의 루트 디렉터리 디렉토리에 있는 web.config 파일 내 아래 항목 추가
(web.config 파일이 없으면 사이트 홈 디렉토리에 새로 생성)
[upload 및 download 용량 제한 - web.config 파일 편집]
Step 2) %systemroot%\system32\intsrv\config\applicationHost.config 파일 내 아래 항목 추가
[upload 및 download 용량 제한 - applicationHost.config 파일 편집]
* Default 설정 값
(1) maxAllowedContentLength (컨텐츠 용량) => Default : 30MB
(2) MaxRequestEntityAllowed (파일 업로드 용량) => Default : 200,000 byte
(3) bufferingLimit (파일 다운로드 용량) => Default : 4MB(4,194,304 byte)
조치 시 영향
- 일반적인 경우 영향 없음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| W-19(상) 2.서비스 관리 > 2.13 IIS 가상 디렉토리 삭제 (0) | 2020.02.26 |
|---|---|
| W-18(상) 2. 서비스 관리 > 2.12 IIS DB 연결 취약점 점검 (0) | 2020.02.26 |
| 2. 서비스 관리 > 2.10 IIS 링크 사용금지 (0) | 2020.02.21 |
| 2. 서비스 관리 > 2.9 웹 프로세스 권한 제한 (0) | 2020.02.20 |
| 2. 서비스 관리 > 2.8 IIS 불필요한 파일 제거 (0) | 2020.02.19 |
댓글