IIS 미사용 스크립트 매핑 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 사용하지 않는 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함 ■ 보안 위협 - 미사용 확장자 매핑을 제거하지 않은 .htr .IDC .stm .shtm . shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우 공격 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 취약함 매핑이 존재하지 않는 경우 - 취약 : 취약함 매핑이 존재하는 경우 ■ 조치 방법 - 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 취약한 매핑 제거 ● Windows 2000(IIS 5.0), 2003(IIS 6.0) Step 1) 시작 > 실행 > INETMGR > 웹 사이트 > 해당 웹사이트 > 속..
IIS 데이터 파일 ACL 적용 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함 ■ 보안 위협 - 웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능 점검 및 조치 방법 ■ 판단 기준 - 양호 : 홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하지 않는 경우 - 취약 : 홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하는 경우 ■ 조치 방법 - IIS 서비스를 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 홈디렉토리에 Administrators, System 권한만 설정 후, 하위 디렉토리에 존재하는 모든 Everyo..
IIS 가상 디렉토리 삭제 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - IIS를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함 ■ 보안 위협 - 기본 가상 디렉토리가 삭제되지 않은 경우 ADSI 스크립트를 이용한 기본 웹 사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 해당 웹사이트에 IIS Admin, IIS Adminpwd 가상 디렉토리가 존재하지 않은 경우 - 취약 : 해당 웹사이트에 IIS Admin, IIS Adminpwd 가상 디렉토리가 존재하는 경우 ■ 조치 방법 - 사용하지 않는 경우 IIS 서비스 중지, 사용할 경..
IIS DB 연결 취약점 점검 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - DB 커넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함 ■ 보안 위협 - global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 어플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : .asa 매핑 시 특정 동작만 가능하도록 제한하여 설정한 경우 또는 매핑이 없을 경우 - 취약 : .asa 매핑 시 모든 동작이 가능하도록 설정한 경우 ■ 조치 방법 -..
IIS 파일 업로드 및 다운로드 제한 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 사용해야 하는 경우, 파일의 용량제한을 설정하고 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함 ■ 보안 위협 - 대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애를 유발할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는 경우 - 취약 : 웹 프로세스의 서버 자원을 관리하지 않는 경우(용량 미 제한) ■ 조치 방법 ● Windows NT, 2000, 2003 Step 1) 시작 ..
IIS 링크 사용금지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 컨텐츠 디렉토리에서 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, 별칭(aliases), 바로가기 등을 제거하여 허용하지 않은 경로의 접근을 차단하기 위함 ■ 보안 위협 접근을 허용한 웹 콘텐츠 디렉토리 내에 서버의 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, aliases, 바로가기 등이 존재하는 경우 해당 링크를 통해 허용하지 않은 다른 디렉토리에 엑세스 할 수 있는 위험성 존재 점검 및 조치 방법 ■ 판단 기준 - 양호 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하지 않는 경우 - 취약 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하는 경우 ■ 조치 방법 - 등록된 웹 사이트의..
웹 프로세스 권한 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용햇 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함 ■ 보안 위협 - 웹 프로세스 권한을 제한하지 않은 경우 웹사이트 방문자가 웹서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우 - 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우..
