취약점 개요
점검내용
- IIS 데이터 파일 ACL 적용 여부 점검
점검목적
- 웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함
보안위협
- 웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능
참고
- 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터의 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함
1. 가능한 파일의 종류끼리 분류하여 폴더에 저장
2. 홈 디렉토리(기본 : c\inetpub\wwwroot)내에 적절한 ACL 권한 부여
- ACL(Access Control List) : 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목록
점검대상 및 판단기준
대상
- Windows 2000, 2003, 2008, 2012
판간기준
- 양호 : 홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하지 않는 경우(정적 콘텐츠 파일은 Read 권한만)
- 취약 : 홈 디렉토리 내에 있는 하위 패일들에 대해 Everyone 권한이 존재하는 경우(정적 콘텐츠 파일은 Read 권한 제외)
* 조치 시 마스터 속성과 모든 사이트에 적용함
점검 및 조치 사례
- Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 시작 > 실행 > INETMGR > 웹사이트 > 속성 > 홈 디렉토리 경로 확인
Step 2) 탐색기를 이용하여 홈 디렉토리의 등록정보 > [보안] 탭에서 Everyone 권한 확인
Step 3) 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제거
| 파일 형식 | 액세스 제어 목록 |
| CGI (.exe, .dll, .pl) | 모든 사람(X), 관리자/시스템(전체 제어) |
| 스크립트 파일(.asp) | 모든 사람(X), 관리자/시스템(전체 제어) |
| 포함 파일(.inc, .shtm, .shtml) | 모든 사람(X), 관리자/시스템(전체 제어) |
| 정적 콘텐츠(.txt, .gif, .jpg, .html) | 모든 사람(R), 관리자/시스템(전체 제어) |
- Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 시작 > 실행 > INETMGR > 사이트 > 해당 웹사이트 > 기본 설정 > 홈 디렉토리 실제 경로 확인
Step 2) 탐색기를 이용하여 홈 디렉토리의 등록 정보 > [보안] 탭에서 Everyone 권한 확인
Step 3) 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제거
| 파일 형식 | 액세스 제어 목록 |
| CGI (.exe, .dll, .pl) | 모든 사람(X), 관리자/시스템(전체 제어) |
| 스크립트 파일(.asp) | 모든 사람(X), 관리자/시스템(전체 제어) |
조치 시 영향
- IIS에서 홈 디렉토리 내에 있는 데이터 파일 권한 조치에 따른 검증 필요
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| W-22(상) 2. 서비스 관리 > 2.16 IIS Exec 명령어 쉘 호출 진단 (0) | 2020.02.27 |
|---|---|
| W-21(상) 2. 서비스 관리 > 2.15 IIS 미사용 스크립트 매핑 제거 (0) | 2020.02.27 |
| W-19(상) 2.서비스 관리 > 2.13 IIS 가상 디렉토리 삭제 (0) | 2020.02.26 |
| W-18(상) 2. 서비스 관리 > 2.12 IIS DB 연결 취약점 점검 (0) | 2020.02.26 |
| W-17(상) 2. 서비스 관리 > 2.11 IIS 파일 업로드 및 다운로드 제한 (0) | 2020.02.21 |
댓글