기술적 취약점 진단71 윈도우 서버 W-18 IIS DB 연결 취약점 점검 윈도우 서버 W-18 IIS DB 연결 취약점 점검항목중요도 : 상1. 취약점 개요▶ 점검내용 : Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검▶ 점검목적 : DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함▶ 보안위협 · global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음▶ 참고※ global.asa 파일: 각각의 ASP(Active Server Pages) 프로그램을 위해 II.. 2024. 7. 29. 윈도우 서버 W-17 IIS 파일 업로드 및 다운로드 제한 윈도우 서버 W-17 IIS 파일 업로드 및 다운로드 제한항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 파일 업로드 및 다운로드 제한 설정 여부 점검▶ 점검목적 : 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우, 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함▶ 보안위협 · 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음▶ 참고※ IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어, 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요2. 점검대상 및 판단 기준.. 2024. 7. 29. 윈도우 서버 W-16 IIS 링크 사용금지 윈도우 서버 W-16 IIS 링크 사용금지항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 링크 사용금지 설정 여부 점검▶ 점검목적 : 웹 컨텐츠 디렉토리에서 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, 별칭(aliases), 바로가기 등을 제거하여 허용하지 않은 경로의 접근을 차단하기 위함▶ 보안위협 · 접근을 허용한 웹 콘텐츠 디렉토리 내에 서버의 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, aliases, 바로가기 등이 존재하는 경우 해당 링크를 통해 허용하지 않은 다른 디렉토리에 액세스 할 수 있는 위험성 존재▶ 참고-2. 점검대상 및 판단 기준▶ 대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019 ▶ 판단기준 · 양호 : 심볼릭.. 2024. 7. 29. 윈도우 서버 W-15 웹 프로세스 권한 제한 윈도우 서버 W-15 웹 프로세스 권한 제한항목중요도 : 상1. 취약점 개요▶ 점검내용 : 웹 프로세스 권한 제한 설정 여부 점검▶ 점검목적 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함▶ 보안위협 · 웹 프로세스 권한을 제한하지 않은 경우 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음▶ 참고※ 참고로 최소 권한의 계정으로 IIS를 구동 시키는 것 이외에 ‘웹 사이트 등록정보’ > ‘홈디렉토리’ > 응용프로그.. 2024. 7. 29. 윈도우 서버 W-14 IIS 불필요한 파일 제거 윈도우 서버 W-14 IIS 불필요한 파일 제거항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검▶ 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함▶ 보안위협 · IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함▶ 참고-2. 점검대상 및 판단 기준▶ 대상 : Windows 2000, 2003▶ 판단기준 · 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디.. 2024. 7. 29. 윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지 윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지항목중요도 : 상1. 취약점 개요▶ 점검내용 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검▶ 점검목적 : “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함▶ 보안위협 · 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함▶ 참고※ “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함2. 점검대상 및 판단 기준▶ 대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019▶ 판단기준 · 양호 .. 2024. 7. 29. 이전 1 ··· 5 6 7 8 9 10 11 12 다음