분류 전체보기122 W-20(상) 2. 서비스 관리 > 2.14 IIS 데이터 파일 ACL 적용 취약점 개요 점검내용 - IIS 데이터 파일 ACL 적용 여부 점검 점검목적 - 웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함 보안위협 - 웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능 참고 - 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터의 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함 1. 가능한 파일의 종류끼리 분류하여 폴더에 저장 2. 홈 디렉토리(기본 : c\inetpub\wwwroot)내에 적절한 ACL 권한 부여 - ACL(Access Control List) : 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목록 .. 2020. 2. 26. W-19(상) 2.서비스 관리 > 2.13 IIS 가상 디렉토리 삭제 취약점 개요 점검내용 - 불필요한 IIS 가상 디렉토리 삭제 여부 점검 점검목적 - IIS를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함 보안위협 - 기본 가상 디렉토리가 삭제되지 않을 경우 ADSI 스크립트를 이용한 기본 웹 사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음 참고 - /issadmpwd 파일을 제거하고 이 외 존재하는 가상 디렉토리 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉토리를 삭제하여야 함 - IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라는 가상 디렉토리를 생성하는데 이 디렉토리에는 웹 서버를 통하여 패스워드를 .. 2020. 2. 26. W-18(상) 2. 서비스 관리 > 2.12 IIS DB 연결 취약점 점검 취약점 개요 점검내용 - Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검 점검목적 - DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함 보안위협 - global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB 명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음 참고 - global.asa 파일 : 각 각의 ASP(Active server Pages) 프로그램을 위해 IIS 서버상에서 관리되는 파일, IIS 서버는 IIS 프로그램이 시작하고 .. 2020. 2. 26. 2. GoogieHost 승인 완료 오늘 GoogieHost 승인이 완료 되었습니다. 21일에 신청을 하였으니 주말을 빼고 하루가 걸리네요.^^ 주문해줘서 고맙다니 공짜로 호스팅을 해주니 제가 더 고마운데요. 워드프레스가 설치가 되었다고 메일이 오네요. 문득 이런 생각이 들었습니다. 워드프레스로 블로그를 할지 어떻게 알았을까요? 뭐 어쨋거나 설치해놨다니 좋네요. 하지만 나와있는 링크로 접속을 하면 없는 패이지라고 나오네요. 그래서 감사하다는 메일에 Login to your account를 클릭하여 GoogieHost에 접속해 봅니다. 처음 가입했을 때 SERVICES 부분에 0으로 나와 있던게 1로 나와 있네요. 바로 눌러주었습니다. 상태가 Active로 변화 된 것을 확인 하였습니다. 하지만 신청한 URL로 어디든 접속이 안되어서 메일을.. 2020. 2. 24. 이전 1 ··· 14 15 16 17 18 19 20 ··· 31 다음
