개발/한국인터넷진흥원 취약점 분석 평가27 2. 서비스 관리 > 2.5 디렉토리 리스팅 제거 취약점 개요 점검내용 - 웹서버 디렉토리 리스팅 차단 설정 여부 점검 점검목적 - 웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여 불필요한 파일 정보 노출을 차단하기 위함 보안위협 - 웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음 참고 - 디렉토리 리스팅 취약점 : 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점 점검대상 및 판단기준 대상 - Windows 2000, 2003, 2008, 2012 판단기준 - 양호 : "디렉토리 검색" 체크하지 않음 - 취약.. 2020. 2. 19. 2. 서비스 관리 > 2.4 IIS 서비스 구동 점검 취약점 개요 점검내용 - 불필요한 IIS 서비스 구동 여부 점검 점검목적 - 불필요한 IIS 서비스가 구동 상태인지를 점검하여 제거하고 해당 서비스가 취약점이 제거되지 않은 상태로 외부 위협에 노출되지 않도록 하기 위함 보안위협 - IIS 서비스는 WEB, FTP 등의 서비스를 제공해주는 유용한 서비스이나 프로파일링, 서비스 거부, 불법적인 접근, 임의의 코드 실행, 정보 공개, 바이러스, 웜, 트로이목마 등의 위협에 노출 될 수 있어 서비스 불필요 시 삭제하여야 함 참고 - 일반적으로 불필요한 서비스가 시스템 내 구동되고 있는 경우에는 관리되지 않은 상태로 방치되는 경우가 많아 보안 취약점이 그대로 노출되어 악의적인 공격의 대상이 될 수 있음 점검대상 및 판단 기준 대상 - Windows NT, 200.. 2020. 2. 18. 2. 서비스 관리 > 2.3 불필요한 서비스 제거 취약점 개요 점검내용 - 불필요한 서비스 가동 여부 점검 점검목적 - 사용자 환경에 필요하지 않은 서비스 및 실행 파일을 제거하거나 비활성화 처리하여 이를 통한 악의적인 공격을 차단하기 위함 보안위협 - 시스템에 기본적으로 설치되는 불필요한 취약 서비스들이 제거되지 않을 경우, 해당 서비스의 취약점으로 인한 공격이 가능하며 네트워크 서비스의 경우 열린 포트를 통한 외부 침입의 가능성이 존재함 참고 - OS 버전에 따라 '일반적으로 불필요한 서비스' 목록에 나열된 서비스가 제공되지 않을 수 있음 점검대상 및 판단 기준 대상 - Windows NT, 2000, 2003, 2008, 2012 판단기준 - 양호 : 일반적으로 불필요한 서비스(아래 목록 참조)가 중지되어 있는 경우 - 취약 : 일반적으로 불필요한.. 2020. 2. 18. 2. 서비스 관리 > 2.2 하드디스크 기본 공유 제거 취약점 개요 점검내용 - 하드디스크 기본 공유 제거 여부 점검 점검목적 - 하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함 보안위협 - Windows는 프로그램 및 서비스르르 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투할 수 있음 참고 - 기본 공유 : 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며 Windows 2000, XP에서는 관리자 ID와 Password를 알.. 2020. 2. 18. 이전 1 2 3 4 5 6 7 다음
