본문 바로가기

w-182

윈도우 서버 W-19 IIS 가상 디렉토리 삭제 윈도우 서버 W-19 IIS 가상 디렉토리 삭제항목중요도 : 상1. 취약점 개요▶ 점검내용 : 불필요한 IIS 가상 디렉토리 삭제 여부 점검▶ 점검목적 : IIS 를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함▶ 보안위협 · 기본 가상 디렉토리가 삭제되지 않은 경우 ADSI 스크립트를 이용한 기본 웹 사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음▶ 참고※ /issadmpwd 파일을 제거하고 이 외 존재하는 가상 디렉토리 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉토리를 삭제하여야 함 ※ IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라.. 2024. 7. 30.
윈도우 서버 W-18 IIS DB 연결 취약점 점검 윈도우 서버 W-18 IIS DB 연결 취약점 점검항목중요도 : 상1. 취약점 개요▶ 점검내용 : Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검▶ 점검목적 : DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함▶ 보안위협 · global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음▶ 참고※ global.asa 파일: 각각의 ASP(Active Server Pages) 프로그램을 위해 II.. 2024. 7. 29.