주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검
○ 점검목적 : “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
○ 보안위협 : 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
○ 점검대상 : Windows 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 상위 패스 기능을 제거한 경우
- 취약 : 상위 패스 기능을 제거하지 않은 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함
■ 점검방법
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 인터넷 정보 서비스(IIS) 관리> 해당 웹사이트> 속성 |
○ Window 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자 |
■ 조치방안
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 인터넷 정보 서비스(IIS) 관리> 해당 웹사이트> 속성 |
|
Step 2 |
[옵션] 탭에서 “부모 경로 사용” 의 체크박스 해제 확인 |
○ Window 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자 |
|
Step 2 |
ASP 선택, “부모 경로 사용” 항목 "False” 설정 확인 |
■ 조치 시 영향
“../”와 같이 상대경로를 사용하도록 하드 코딩되어 있는 애플리케이션의 경우 영향 있음
■ ".."는 Unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-27(상) 웹 프로세스 권한 제한 (0) | 2021.03.04 |
|---|---|
| W-26(상) IIS 불필요한 파일 제거 (0) | 2021.03.04 |
| W-24(상) IIS CGI 실행 제한 (0) | 2021.03.03 |
| W-23(상) 디렉토리 리스팅 제거 (0) | 2021.03.02 |
| W-22(상) IIS 서비스 구동 점검 (0) | 2021.03.02 |