본문 바로가기

개발/한국인터넷진흥원 취약점 분석 평가27

W-19(상) 2.서비스 관리 > 2.13 IIS 가상 디렉토리 삭제 취약점 개요 점검내용 - 불필요한 IIS 가상 디렉토리 삭제 여부 점검 점검목적 - IIS를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함 보안위협 - 기본 가상 디렉토리가 삭제되지 않을 경우 ADSI 스크립트를 이용한 기본 웹 사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음 참고 - /issadmpwd 파일을 제거하고 이 외 존재하는 가상 디렉토리 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉토리를 삭제하여야 함 - IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라는 가상 디렉토리를 생성하는데 이 디렉토리에는 웹 서버를 통하여 패스워드를 .. 2020. 2. 26.

W-18(상) 2. 서비스 관리 > 2.12 IIS DB 연결 취약점 점검 취약점 개요 점검내용 - Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검 점검목적 - DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함 보안위협 - global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB 명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음 참고 - global.asa 파일 : 각 각의 ASP(Active server Pages) 프로그램을 위해 IIS 서버상에서 관리되는 파일, IIS 서버는 IIS 프로그램이 시작하고 .. 2020. 2. 26.

W-17(상) 2. 서비스 관리 > 2.11 IIS 파일 업로드 및 다운로드 제한 취약점 개요 점검내용 - IIS 파일 업로드 및 다운로드 제한 설정 여부 점검 점검목적 - 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함 보안위협 - 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음 참고 - IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요 점검대상 및 판단기준 대상 - Windows NT, 2000, 2003, 2008, 2012 판단기준 - 양호 : 웹.. 2020. 2. 21.

2. 서비스 관리 > 2.10 IIS 링크 사용금지 취약점 개요 점검내용 - IIS 링크 사용금지 설정 여부 점검 점검목적 - 웹 컨텐츠 디렉토리에서 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, 별칭(aliases), 바로가기 등이 존재하는 경우 해당 링크를 통해 허용하지 않은 다른 디렉토리에 액세스 할 수 있는 위험성 존재 점검대상 및 판단기준 대상 - Windows 2000, 2003, 2008, 2012 판단기준 - 양호 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하지 않는 경우 - 취약 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하는 경우 조치방법 - 등록된 웹 사이트의 홈 디렉토리에 있는 심볼릭 링크, aliases, 바로가기 파일 삭제 점검 및 조치 사례 - Windows 2000(IIS 5.0), 2.. 2020. 2. 21.

이전 1 2 3 4 5 6 7 다음

티스토리툴바