본문 바로가기
IT/윈도우서버

주요정보통신기반시설 윈도우 서버 W-11 디렉토리 리스팅 제거

by 쏠-티 2023. 7. 20.

■ 개념

2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-11 디렉토리 리스팅 제거 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.

항목명
디렉토리 리스팅 제거
항목코드 W-11
위험도
점검내용
웹서버 디렉토리 리스팅 차단 설정 여부 점검
점검목적
웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여, 불필요한 파일 정보 노출을 차단하기 위함

보안위협
웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음

※ 디렉토리 리스팅 취약점: 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만, 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점
판단기준
양호
"디렉토리 검색" 체크하지 않음
취약
"디렉토리 검색" 체크함
※ 조치 시 마스터 속성과 모든 사이트에 적용함
조치방법
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 디렉토리 검색 체크 해제

 

■ 실습

해당 점검항목은 윈도우 서버의 서버 내 디렉토리 리스팅 유무를 확인하여 양호/취약을 판단합니다. 아래 사진처럼 웹에서 해당 디렉토리를 검색하여 목록이 노출됩니다. 다운로드까지 가능하여 해당 점검항목은 필수로 보안취약점을 제거해야 합니다.

디렉토리 리스팅
디렉토리 리스팅

  • 확인 메뉴 : 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹 사이트 > IIS > "디렉토리 검색" 선택 후 "사용 안 함" 선택

"디렉토리 검색" 선택
"디렉토리 검색" 선택

"사용 안 함" 선택

진단 스크립트상에는 결과는 <directoryBrowse enabled="true" /> 일 경우 "디렉토리 검색"이 활성으로 설정되어 있는 경우이고 false로 설정되어 있어야 비활성화되어 있어서 양호한 설정입니다.

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

반응형

댓글