[윈도우/서비스 관리] IIS 상위 디렉토리 접근 금지 (W-13)
- 취약점 점검/윈도우
- 2021. 3. 12.
IIS 상위 디렉토리 접근 금지
취약점 개요
■ 위험도
- 상
■ 점검 목적
- ".." 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
■ 보안 위협
- 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
점검 및 조치 방법
■ 판단 기준
- 양호 : 상위 패스 기능을 제거한 경우
- 취약 : 상위 패스 기능을 제거하지 않은 경우
■ 조치 방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한, 쓰기 권한 제거 후 Administrators, System 그룹 추가(모든 권한)
● Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트 > 속성 > 홈디렉토리 > 구성 > [옵션] 탭에서 "부모 경로 사용"의 체크박스 해제 확인
● Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리자 > 해당 웹사이트 > IIS > ASP 선택, "부모 경로 사용" 항목 "False" 설정 확인
■ 스크립트
echo [ W-25 "IIS 상위 디렉터리 접근 금지" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ■ enableParentPaths 설정 확인 ■ >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_webconfig.txt | find /I "enableParentPaths" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-25 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
".." 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함