개발/한국인터넷진흥원 취약점 분석 평가27 W-23(상) 2. 서비스 관리 > 2.17 IIS WebDAV 비활성화 취약점 개요 점검내용 - IIS WebDAV 비활성화 여부 점검 점검목적 - WebDAV 서비스를 비활성화 하여 IIS WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함 보안위협 - WebDAV가 활성화 되어 있는 경우 IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근(디렉토리 열람, 파일 다운로드 등)이 가능 - WebDAV에 의해 호출된 일부 구성 요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여 이로 인해 버퍼 오버런이 발생 가능 ㅠ - WebDAV(Web Distributed Authoring and Vesioning) : 사용자가 원격 World Wide Web 서버를 이용하여 파일을 수정하거나 처리할 수.. 2020. 3. 2. W-22(상) 2. 서비스 관리 > 2.16 IIS Exec 명령어 쉘 호출 진단 취약점 개요 점검내용 - IIS Exec 명령어 쉘 호출 여부 진단 점검목적 - 웹 서버에서 임의 명령어 호출을 제한하여 허가되지 않은 명령어 실행을 차단하기 위함 보안위협 - 웹 서버에서 # exec 명령어를 통해 명령어 실행이 차단되지 않은 경우 웹 서버에서 임의의 시스템 명령이 호출 가능하여 허가되지 않은 파일의 실행 위험 존재 점검대상 및 판단 기준 대상 - Windows NT, 2000 판단기준 - 양호 : IIS 5.0 버전에서 해당 레지스트리 값이 0이거나 IIS 6.0 버전 이상인 경우 - 취약 : IIS 5.0 버전에서 해당 레지스트리 값이 1인 경우 조치방법 - 위의 양호 기준에 맞춰 레지스트리 값 설정 점검 및 조치 사례 - Windows NT(IIS 4.0), 2000(IIS 5.0.. 2020. 2. 27. W-21(상) 2. 서비스 관리 > 2.15 IIS 미사용 스크립트 매핑 제거 취약점 개요 점검내용 - IIS 미사용 스크립트 매핑 제거 여부 점검 점검목적 - 사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함 보안위협 - 미사용 확장자 매핑을 제거하지 않음 .htr .idc .stm .shtm .shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함 참고 - 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함 - .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨 - 스크립트 매핑 : IIS는 클라이언트가 요청한 자원의 파일 확장자.. 2020. 2. 27. W-20(상) 2. 서비스 관리 > 2.14 IIS 데이터 파일 ACL 적용 취약점 개요 점검내용 - IIS 데이터 파일 ACL 적용 여부 점검 점검목적 - 웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함 보안위협 - 웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능 참고 - 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터의 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함 1. 가능한 파일의 종류끼리 분류하여 폴더에 저장 2. 홈 디렉토리(기본 : c\inetpub\wwwroot)내에 적절한 ACL 권한 부여 - ACL(Access Control List) : 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목록 .. 2020. 2. 26. 이전 1 2 3 4 5 ··· 7 다음
