윈도우 서버 W-59 IIS 웹 서비스 정보 숨김

윈도우 서버 W-59 IIS 웹 서비스 정보 숨김

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : IIS 웹 서비스 정보 숨김 설정 여부 점검

▶ 점검목적 : IIS 웹 서비스 운용 시 에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정 이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함

▶ 보안위협

 · IIS 웹 서비스 정보 숨김 설정이 적용되지 않은 경우 악의적인 사용자에게 불필요한 정보가 노출되어 외부 공격을 위한 기초 자료로 이용될 수 있음

▶ 참고

-

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우

 · 취약 : 웹 서비스 에러 페이지가 별도로 지정되어 있지 않아 에러 발생 시 중요 정보가 노출되는 경우

▶  조치방법 : 발생 가능한 각 에러에 대한 별도의 웹 서비스 에러 페이지를 지정함

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 제어판> 관리 도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> [오류 페이지] 를 확인합니다.

 

IIS 관리자 페이지에서 오류페이지를 선택했습니다.

 

현재 오류마다 각 해당되는 에러페이지가 설정되어있습니다.

기본값으로 오류설정이 되어있기때문에 해당 항목은 양호라고 생각할 수도 있습니다만, 이 점검의 목적을 보면

 

"IIS 웹 서비스 운용 시 에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정 이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함"

 

이라고 되어있습니다. 

 

즉, 이렇게 뜨는 것은 내 서버의 문제가 무엇인지 알려주는 것이므로 취약이 될 수도 있습니다.

 

이 에러문구는 어떻게 표출되는지 확인해보겠습니다.

 

서버에러 발생시 이런 내용이 표출됩니다.

어떤 에러에 의한 문제인지 조차 알려주지 않도록하는 것이 좋을 것같습니다.

 

취약으로 두고 웹페이지 공통의 오류페이지를 만들어 조치를 하겠습니다.

 

4. 조치

 

1) 제어판> 관리 도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> [오류 페이지]> [작업] 탭에서 [기능 설정 편집]

 

2) "서버 오류 발생 시 다음 반환" 항목을 "사용자 지정 오류 페이지" 로 설정 합니다..

 오류페이지 설정을 했습니다. 사실 이걸 왜 하는건지 모르겠습니다. 

 아래 경로를 입력해서 해봤는데 아무런 반응이 없었습니다.

 

3) 404에러코드에 이렇게 제가 만들어준 에러표출창을 넣었습니다.

 4) 테스트 화면이 이렇게 뜹니다.

 

5) 나머지 에러페이지에도 동일하게 적용해 줍니다.

5. 결과

이렇게 조치해주면 양호입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!