반응형 IT/윈도우서버13 주요정보통신기반시설 윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-13 IIS 상위 디렉토리 접근 금지 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 IIS 상위 디렉토리 접근 금지 항목코드 W-13 위험도 상 점검내용 IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검 점검목적 " .. " 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함 보안위협 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함 ※ " .. " 는 un.. 2023. 10. 28. 주요정보통신기반시설 윈도우 서버 W-12 IIS CGI 실행 제한 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-12 IIS CGI 실행 제한 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 IIS CGI 실행 제한 항목코드 W-12 위험도 상 점검내용 IIS CGI 실행 제한 설정 여부 점검 점검목적 CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함 보안위협 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음 ※ CGI(.. 2023. 7. 22. 주요정보통신기반시설 윈도우 서버 W-11 디렉토리 리스팅 제거 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-11 디렉토리 리스팅 제거 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 디렉토리 리스팅 제거 항목코드 W-11 위험도 상 점검내용 웹서버 디렉토리 리스팅 차단 설정 여부 점검 점검목적 웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여, 불필요한 파일 정보 노출을 차단하기 위함 보안위협 웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음 ※ 디렉토리 리스팅 취약점: 디렉토리에 대한 요청 시 기본 .. 2023. 7. 20. 주요정보통신기반시설 윈도우 서버 W-09 불필요한 서비스 제거 ■ 개념 2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-09 불필요한 서비스 제거 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다. 항목명 불필요한 서비스 제거 항목코드 W-09 위험도 상 점검내용 불필요한 서비스 가동 여부 점검 점검목적 사용자 환경에 필요하지 않은 서비스 및 실행 파일을 제거하거나 비활성화 처리하여 이를 통한 악의적인 공격을 차단하기 위함 보안위협 시스템에 기본적으로 설치되는 불필요한 취약 서비스들이 제거되지 않은 경 우, 해당 서비스의 취약점으로 인한 공격이 가능하며, 네트워크 서비스의 경 우 열린 포트를 통한 외부 침입의 가능성이 존재함 ※ OS 버전에 따라 '일반.. 2023. 6. 8. 이전 1 2 3 4 다음 반응형
