[윈도우/서비스 관리] IIS 미사용 스크립트 매핑 제거 (W-21)

IIS 미사용 스크립트 매핑 제거

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 사용하지 않는 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함

■ 보안 위협
- 미사용 확장자 매핑을 제거하지 않은 .htr .IDC .stm .shtm . shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우 공격 위험이 존재함

점검 및 조치 방법

■ 판단 기준
- 양호 : 취약함 매핑이 존재하지 않는 경우
- 취약 : 취약함 매핑이 존재하는 경우

■ 조치 방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 취약한 매핑 제거

● Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 해당 웹사이트 > 속성 > 홈 디렉토리 탭에서 구성 버튼 선택
Step 2) 매핑 탭에서 아래와 같은 취약한 매핑 제거

● Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 해당 웹사이트 > 처리기 매핑 선택
Step 2) 취약한 매핑 제거

■ 스크립트

echo. W-33 START
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-33 "IIS 미사용 스크립트 매핑 제거" ]                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".htr"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".idc"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".stm"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".shtm"                         >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".shtml"                        >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".printer"                      >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".htw"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".ida"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_IIS7_Security_Policy.txt | Find /I ".idq"                          >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-33 END                                                                                   >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >> [RESULT]_%COMPUTERNAME%_WINSVR.txt

■ 용어 설명 / 팁
※ 사용하지 않는 스크립트 매핑은 보안 위험이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인 후 제거
※ .asp나 shtm 과 같은 확장자들은 특정 DLL 파일과 매핑되어 있어, 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨
※ 스크립트 매핑 : IIS 는 클라이언트가 요청한 자원의 파일 확장자에 따라서 이를 처리할 ISAPI 확장 핸드러를 지정하게 되어 있는데 이를 스크립트 매핑이라고 함
※ 버퍼 오버플로우(Buffer Overflow) : 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하게되면 프로그램의 복귀 주소 조작, 궁극적으로 해커가 원하는 코드를 실행하는 공격