VTY 접근(ACL) 설정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 지정된 IP만 네트워크 장비에 접근하도록 설정되어 있는지 점검하여 비인가자의 터미널 접근을 원칙적으로 차단하는지 확인하기 위함 ■ 보안 위협 - 지정된 IP만 네트워크 장비에 접근하도록 설정되어 있지 않을 경우, 비인가자가 터미널 접근 시도 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도 하여 관리자 계정 패스워드 획득 후 네트워크 장비에 접근하여 장비 설정(기능, ACL정책) 변경 및 삭제 등의 행위를 통해 네트워크 장비를 경유하는 데이터의 유출 및 가용성 저하 등을 발생 시킬 수 있는 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 원격 터미널(VTY) 접근 시 지정된 IP만 접근 하도록 설정이 되어 있는 경..
SQL 인젝션 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작을 방지하기 위함 ■ 보안 위협 - 해당 취약점이 존재하는 경우 비정상적인 SQL 쿼리로 DBMS 및 데이터를 열람하거나 조작 가능하므로 사용자의 입력 값에 대한 필터링을 구현하여야 함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 임의의 SQL Query 입력에 대한 검증이 이루어지는 경우 - 취약 : 임의의 SQL Query 입력에 대한 검증이 이루어지지 않는 경우 ■ 조치 방법 - 소스 코드에 SQL Query 입력값을 받는 함수나 코드를 써야 할 경우, 임의의 SQL Query 입력에 대한 검증 로직을 구현하여 검증되지 않는 SQL..
패스워드 확인함수의 설정 및 적용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - PASSWORD_VERIFY_FUNCTION 값을 설정하여 기본적인 패스워드 정책을 적용하고 이를 통해 로그인에 대한 보안성을 강화하여 저장중인 데이터의 안전성을 높이고자 함 ■ 보안 위협 - PASSWORD_VERIFY_FUNCTION 값이 설정되어 있지 않을 경우. 비인가자가 각종 공격(무작위 대입공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 권한을 통해 저장되어 있는 데이터의 유출, 수정, 삭제 등의 위험이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 검증 함수로 검증이 진행되는 경우 - 취약 : 패스워드 검증 함수가 설정되..
IIS 불필요한 파일 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디덱토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심허질 위험이 존재함 ■ 보안 위협 - IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우 - 취약 : 해당 웹 사이트에 IISamples, IISHelp 가상 디렉토리가 존재하는 경우 ■ 조치 방법 - 사용하지 않는 경우 IIS 서비스 중지, 사용할 ..
CD, DVD, USB메모리 등과 같은 미디어의 자동실행 방지 등 이동식 미디어에 대한 보안대책 수립 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - CD/DVD, USB 메모리 등과 같은 이동식 미디어를 USB port에 연결 시 자동 실행을 차단하도록 함 ■ 보안 위협 - CD/DVD, USB 메모리 등과 같은 이동식 미디어가 자동 실행되는 경우 미디어에 탑재된 Autorun.inf 파일을 통해 다른 응용 프로그램이 자동 실행될 수 있음 - 이동식 미디어가 사용 될 때 읽기 기능을 통해 바이러스 감염이 발생할 수 있고, 쓰기 기능을 통하여 주요 정보 유출이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 미디어 사용 시 자동 실행되지 않고 내부적으로 관리 절차를 수립하여 이행하고 있는 ..
IIS 상위 디렉토리 접근 금지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - ".." 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함 ■ 보안 위협 - 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 상위 패스 기능을 제거한 경우 - 취약 : 상위 패스 기능을 제거하지 않은 경우 ■ 조치 방법 - 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한, 쓰기 권한 제거 후 Administrators, System 그룹 추가(모든 권한) ● Windo..
cron 파일 소유자 및 권한 설정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 비인가자가 allow, deny 파일에 접근할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 ■ 보안 위협 - root 외 일반사용자에게도 crontab 명령어를 사용할 수 있도록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : cron 접근 파일 소유자가 root이고, 권한이 640 이하인 경우 - 취약 : cron 접근 파일 소유자가 root가 아니거나, 권한이 640 이하가 아닌 경우 ■ 조치 방법 cron.allow, cron.deny 파일 소유자(root) 및 권한 변경(640 이하) ■ 스크립트 echo "[ U-39 ..
