W-21(상) 2. 서비스 관리 > 2.15 IIS 미사용 스크립트 매핑 제거

취약점 개요

 

점검내용

- IIS 미사용 스크립트 매핑 제거 여부 점검

점검목적

- 사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함

보안위협

- 미사용 확장자 매핑을 제거하지 않음 .htr .idc .stm .shtm .shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함

참고

- 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함

- .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨

- 스크립트 매핑 : IIS는 클라이언트가 요청한 자원의 파일 확장자에 따라서 이를 처리할 ISAPI 확장 핸들러를 지정하게 되어 있는데 이를 스크립트 매핑이라고 함

- 버퍼 오버플로우 (Buffer Overflow) : 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것

 

점검대상 및 판단기준

 

대상

- windows 2000, 2003, 2008, 2012

판단기준

- 양호 : 취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하지 않는 경우

- 취약 : 취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하는 경우

*조치 시 마스터 속성과 모든 사이트에 적용함

조치방법

- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 취약한 매핑 제거

 

점검 및 조치 사례

- Windows 2000(IIS 5.0), 2003(IIS 6.0)

Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 속성 > [홈 디렉토리] 탭에서 [구성] 버튼 선택

Step 2) [매핑] 탭에서 아래와 같은 취약한 매핑 제거

확장자명	기능	취약점
asp	Active Server Pages 기능 지원	Buffer Overflow MS02-018 * Win 2000 SP3 이상 양호
htr	Web-based password reset Outlook Web Access 등에서 웹 기반 응용 프로그램으로 자신의 사용자 계정 암호 변경	+ .htr 소스 공개 취약점 MS01-004 * Win 2000 SP3, NT SP 7.0 이상 양호
idc	Internet Database Connector SQL 서버에 연결하기 위한 정보 등을 관리함 asp를 통해 같은 작업을 수행 가능	web 디렉토리 패스 공개 Q193689 * NT4.0, NT SP6a이상 양호
stm, stml, shtml	Server-Side Includes	Buffer Overflow MS01-044 * Win 2000 SP3 이상 양호
printer	Internet Printing : URL을 사용하여 페이지를 프린터로 인쇄할 수 있도록 함 IIS가 인터넷이나 인트라넷을 통해 인쇄 서버 기능 수행	Buffer Overflow MS01-023 * Win 2000 SP2 이상 양호
ida, idq	Index Server : idq.dll에 매핑되며 인덱스 서버를 쿼리할 때 사용	Buffer Overflow MS01-033 * Win 2000 SP3 이상 양호
htw	Index Server : webhits.dll에 매핑되며 인덱스 서버를 쿼리할 때 사용	Webhit 소스 공개 취약점 M00-006 * Win 2000 SP1 이상 양호

- Windows 2008(IIS 7.0), 2012(IIS 8.0)

Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 해당 웹 사이트 > 처리기 매핑 선택

Step 2) 취약한 매핑 제거(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)

조치 시 영향

- 일반적인 경우 영향 없음