주요정보통신기반시설 윈도우 서버 W-12 IIS CGI 실행 제한

■ 개념

2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-12 IIS CGI 실행 제한 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.

항목명		IIS CGI 실행 제한
항목코드		W-12
위험도		상
점검내용		IIS CGI 실행 제한 설정 여부 점검
점검목적		CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함

보안위협		게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음 ※ CGI(Common Gateway Interface): 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램 ※ 일반적으로 기본 CGI 디렉토리(C:\inetpub\scripts)는 사용하지 않음
판단기준	양호	해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되지 않은 경우
	취약	해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되어 있는 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함
조치방법		사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한, 쓰기 권한 제거 후 Administrators, System 그룹 추가(모든 권한)

■ 실습

해당 점검항목은 윈도우 서버의 IIS CGI 관련 디렉터리(C:\inetpub\scripts)의 Everyone 권한 유무를 확인하여 양호/취약을 판단합니다. 아래 메뉴를 통해 확인하시기 바랍니다.

• 확인 메뉴 : 탐색기> 해당 디렉터리> 속성> 보안 (기본 CGI 디렉터리 위치 C:\inetpub\scripts)
  Everyone의 모든 권한, 수정 권한, 쓰기 권한 제거

 

아래 사진에서 보듯이 scripts 디렉터리의 권한을 everyone 권한을 임의로 설정했습니다. 진단할 때 비인가 계정 등 확인 및 취합하여 고객사 담당자와 인터뷰가 필요합니다.

cgi everyone 권한 설정

 

</p

 

진단 스크립트상에는 아래 사진처럼 test1 계정에 모든 권한(everyone) = F이 설정되어 있는 것을 확인할 수 있습니다.

진단스크립트 상 디렉토리 권한 내용

아래 표는 윈도우에서 권한에 대한 문자 뜻입니다.

문자	의미
R	읽기
W	쓰기
C	변경(쓰기)
F	모든 권한

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.