■ 개념
2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-11 디렉토리 리스팅 제거 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
항목명 |
디렉토리 리스팅 제거
|
|
항목코드 | W-11 | |
위험도 | 상 | |
점검내용 |
웹서버 디렉토리 리스팅 차단 설정 여부 점검
|
|
점검목적 |
웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여, 불필요한 파일 정보 노출을 차단하기 위함
|
보안위협 |
웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음
※ 디렉토리 리스팅 취약점: 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만, 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점 |
|
판단기준
|
양호 |
"디렉토리 검색" 체크하지 않음
|
취약 |
"디렉토리 검색" 체크함
※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 디렉토리 검색 체크 해제
|
■ 실습
해당 점검항목은 윈도우 서버의 서버 내 디렉토리 리스팅 유무를 확인하여 양호/취약을 판단합니다. 아래 사진처럼 웹에서 해당 디렉토리를 검색하여 목록이 노출됩니다. 다운로드까지 가능하여 해당 점검항목은 필수로 보안취약점을 제거해야 합니다.
- 확인 메뉴 : 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹 사이트 > IIS > "디렉토리 검색" 선택 후 "사용 안 함" 선택
진단 스크립트상에는 결과는 <directoryBrowse enabled="true" /> 일 경우 "디렉토리 검색"이 활성으로 설정되어 있는 경우이고 false로 설정되어 있어야 비활성화되어 있어서 양호한 설정입니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
반응형
'IT > 윈도우서버' 카테고리의 다른 글
주요정보통신기반시설 윈도우 서버 W-13 IIS 상위 디렉토리 접근 금지 (0) | 2023.10.28 |
---|---|
주요정보통신기반시설 윈도우 서버 W-12 IIS CGI 실행 제한 (0) | 2023.07.22 |
주요정보통신기반시설 윈도우 서버 W-09 불필요한 서비스 제거 (0) | 2023.06.08 |
주요정보통신기반시설 윈도우 서버 W-10 IIS 서비스 구동 점검 (0) | 2023.06.07 |
주요정보통신기반시설 윈도우 서버 W-08 하드디스크 기본 공유 제거 (0) | 2023.06.06 |
댓글