반응형 IT26 주요정보통신기반시설 윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-13 IIS 상위 디렉토리 접근 금지 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 IIS 상위 디렉토리 접근 금지 항목코드 W-13 위험도 상 점검내용 IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검 점검목적 " .. " 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함 보안위협 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함 ※ " .. " 는 un.. 2023. 10. 28. 주요정보통신기반시설 유닉스/리눅스 서버 U-13 SUID, SGID, 설정 파일점검 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-13 SUID, SGID, 설정 파일점검 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)를 기준으로 진단 및 실습합니다. 항목명 SUID, SGID 설정 여부 점검 항목코드 U-13 위험도 상 점검내용 불필요하거나 악의적인 파일에 SUID, SGID 설정 여부 점검 점검목적 불필요한 SUID, SGID 설정 제거로 악의적인 사용자의 권한상승을 방지하기 위함 보안위협 SUID, SGID 파일의 접근권한이 적절하지 않을 경우 SUID, SGID 설정된 파일로 특정 명령어를 실행하여 root 권한 획득 가능함 ※ SUID: 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 .. 2023. 10. 28. 주요정보통신기반시설 윈도우 서버 W-12 IIS CGI 실행 제한 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-12 IIS CGI 실행 제한 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 IIS CGI 실행 제한 항목코드 W-12 위험도 상 점검내용 IIS CGI 실행 제한 설정 여부 점검 점검목적 CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함 보안위협 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음 ※ CGI(.. 2023. 7. 22. 주요정보통신기반시설 유닉스/리눅스 서버 U-12 /etc/services 파일 소유자 및 권한 설정 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-12 /etc/services 파일 소유자 및 권한 설정 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)를 기준으로 진단 및 실습합니다. 항목명 /etc/services 파일 소유자 및 권한 설정 항목코드 U-12 위험도 상 점검내용 /etc/services 파일 권한 적절성 점검 점검목적 /etc/services 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함 보안위협 services 파일의 접근권한이 적절하지 않을 경우 비인가 사용자가 운영 포트 번호를 변경하여 정상적인 서비스를 제한하거나, 허용되지 않은 포트를 오픈하여 악성 서비스를 의도적.. 2023. 7. 21. 이전 1 2 3 4 ··· 7 다음 반응형
