취약점 진단137 윈도우 서버 W-22 IIS Exec 명령어 쉘 호출 진단 윈도우 서버 W-22 IIS Exec 명령어 쉘 호출 진단항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS Exec 명령어 쉘 호출 여부 진단▶ 점검목적 : 웹 서버에서 임의 명령어 호출을 제한하여 허가되지 않은 명령어 실행을 차단하기 위함▶ 보안위협 · 웹 서버에서 # exec 명령어를 통한 명령어 실행이 차단되지 않은 경우, 웹 서버에서 임의의 시스템 명령이 호출 가능하여 허가되지 않은 파일의 실행 위험 존재▶ 참고-2. 점검대상 및 판단 기준▶ 대상 : Windows NT, 2000▶ 판단기준 · 양호 : IIS 5.0 버전에서 해당 레지스트리 값이 0이거나, IIS 6.0 버전 이상인 경우 · 취약 : IIS 5.0 버전에서 해당 레지스트리 값이 1인 경우▶ 조치방법 : 위의 양호 .. 2024. 7. 30. 윈도우 서버 W-21 IIS 미사용 스크립트 매핑 제거 윈도우 서버 W-21 IIS 미사용 스크립트 매핑 제거항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 미사용 스크립트 매핑 제거 여부 점검▶ 점검목적 : 사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함▶ 보안위협 · 미사용 확장자 매핑을 제거하지 않은 .htr .idc .stm .shtm .shtml .printer .htw.ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함▶ 참고※ 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함 ※ .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어, 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 .. 2024. 7. 30. 윈도우 서버 W-20 IIS 데이터 파일 ACL 적용 윈도우 서버 W-20 IIS 데이터 파일 ACL 적용항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 데이터 파일 ACL 적용 여부 점검▶ 점검목적 : 웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함▶ 보안위협 · 웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능▶ 참고※ 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함 1. 가능한 파일의 종류끼리 분류하여 폴더에 저장 2. 홈 디렉토리(기본: c:\inetpub\wwwroot)내에 적절한 ACL 권한 부여. ※ ACL(Access Con.. 2024. 7. 30. 윈도우 서버 W-19 IIS 가상 디렉토리 삭제 윈도우 서버 W-19 IIS 가상 디렉토리 삭제항목중요도 : 상1. 취약점 개요▶ 점검내용 : 불필요한 IIS 가상 디렉토리 삭제 여부 점검▶ 점검목적 : IIS 를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함▶ 보안위협 · 기본 가상 디렉토리가 삭제되지 않은 경우 ADSI 스크립트를 이용한 기본 웹 사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음▶ 참고※ /issadmpwd 파일을 제거하고 이 외 존재하는 가상 디렉토리 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉토리를 삭제하여야 함 ※ IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라.. 2024. 7. 30. 윈도우 서버 W-18 IIS DB 연결 취약점 점검 윈도우 서버 W-18 IIS DB 연결 취약점 점검항목중요도 : 상1. 취약점 개요▶ 점검내용 : Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검▶ 점검목적 : DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함▶ 보안위협 · global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음▶ 참고※ global.asa 파일: 각각의 ASP(Active Server Pages) 프로그램을 위해 II.. 2024. 7. 29. 윈도우 서버 W-17 IIS 파일 업로드 및 다운로드 제한 윈도우 서버 W-17 IIS 파일 업로드 및 다운로드 제한항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 파일 업로드 및 다운로드 제한 설정 여부 점검▶ 점검목적 : 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우, 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함▶ 보안위협 · 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음▶ 참고※ IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어, 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요2. 점검대상 및 판단 기준.. 2024. 7. 29. 이전 1 ··· 15 16 17 18 19 20 21 ··· 23 다음