[윈도우/서비스 관리] 디렉토리 리스팅 제거 (W-11)

디렉토리 리스팅 제거 Directory Listing

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 웹서버 디렉토리 리스팅 차단 설정 여부 점검

■ 보안 위협
웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : "디렉토리 검색" 체크하지 않음
- 취약 : "디렉토리 검색" 체크함
※ 조치 시 마스터 속성과 모든 사이트에 적용함

■ 조치 방법
Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 속성 > 홈 디렉토리
Step 2) "디렉토리 검색" 체크 해제

Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹 사이트 > IIS > "디렉토리 검색" 선택 후 "사용 안 함" 선택

■ 스크립트

echo. W-11 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo [ W-11 "IIS 디렉터리 리스팅 제거" ]                                                               >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I "directoryBrowse"               >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo W-11 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo ======================================================================================     >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WIN.txt

■ 용어 설명 / 팁
※ 디렉토리 리스팅 취약점 : 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만, 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점