주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : IIS CGI 실행 제한 설정 여부 점검
○ 점검목적 : CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함
○ 보안위협 : 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음
○ 점검대상 : Windows 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되지 않은 경우
- 취약 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되어 있는 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함
■ 점검방법
○ Window 2000(IIS 5.0), 2003(IIS 6.0), 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 탐색기> 해당 디렉토리> 속성> 보안> “scripts 속성” 설정 확인 |
■ 조치방안
○ Window 2000(IIS 5.0), 2003(IIS 6.0), 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 탐색기> 해당 디렉토리> 속성> 보안> “scripts 속성” 설정 확인 |
|
Step 2 |
Everyone 의 모든 권한, 수정 권한, 쓰기 권한 제거 |
※ IIS 초기 구축시에는 scripts 폴더가 생성되지 않을 수 있음
■ 조치 시 영향
해당 디렉토리 확인 후 추가적인 파일이 없다면 영향 없음
■ CGI(Common Gateway Interface) : 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이 터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램
■ 일반적으로 기본 CGI 디렉토리(CWinetpubWscripts)는 사용하지 않음
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-26(상) IIS 불필요한 파일 제거 (0) | 2021.03.04 |
|---|---|
| W-25(상) IIS 상위 디렉토리 접근 금지 (0) | 2021.03.03 |
| W-23(상) 디렉토리 리스팅 제거 (0) | 2021.03.02 |
| W-22(상) IIS 서비스 구동 점검 (0) | 2021.03.02 |
| W-21(상) 불필요한 서비스 제거 (0) | 2021.03.01 |