윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지

윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검

▶ 점검목적 :  “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함

▶ 보안위협

 · 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함

▶ 참고

※ “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함

2. 점검대상 및 판단 기준

▶  대상 :  Windows 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 상위 디렉토리 접근 기능을 제거한 경우

 · 취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우
             ※ 조치 시 마스터 속성과 모든 사이트에 적용함

▶  조치방법 : 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 상위 디렉토리 접근 기능 제거

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1)  제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> IIS> ASP 선택,
"부모 경로 사용" 항목 "False" 설정 확인

 

위의 방법으로 확인해보면됩니다. 하지만 저의 서버에는 기능이 없는 것인지 확인이 되지 않습니다..

 

없을경우 양호하며, IIS 6.0 이상에서는 기본적으로 해제되어있는 기능입니다.

혹시라도 TURE로 되어있다면 별도로 건드린 것이니 수정하시면됩니다. 

4. 조치

조치는 제 서버에서는 불가능하여 가이드의 내용을 기재해두겠습니다.

Default Web Site 홈에서 기본적으로 ASP 항목이 생깁니다. 

 

 

"부모 경로 사용" 항목 "False" 설정 해주면됩니다.

 

5. 결과

ASP 가 저처럼 없으다면 양호이고 IIS6.0 이상이라면 기본적으로 FALES로 되어있기 때문에 확인해주시면 될 것 같습니다~!

 

윈도우서버를 마스터하는 그날까지

화이팅!