■ 개념
2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-13 IIS 상위 디렉토리 접근 금지 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
| 항목명 |
IIS 상위 디렉토리 접근 금지
|
|
| 항목코드 | W-13 | |
| 위험도 | 상 | |
| 점검내용 |
IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검
|
|
| 점검목적 |
" .. " 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
|
|
| 보안위협 |
이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
※ " .. " 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함 |
|
|
판단기준
|
양호 |
상위 디렉토리 접근 기능을 제거한 경우
|
| 취약 |
상위 디렉토리 접근 기능을 제거하지 않은 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|
| 조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 상위 디렉토리 접근 기능 제거
|
|
■ 실습
해당 점검항목은 윈도우 서버의 IIS 상에서 " .. " 문자를 사용하여 상위 디렉터리로 접근 유무를 판단하여 양호/취약을 판단합니다. 아래 메뉴를 통해 확인하시기 바랍니다.
- 확인 메뉴 : 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> IIS ASP 선택, "부모 경로 사용" 항목 "False" 설정 확인
아래 사진처럼 "부모 경로 사용" 항목이 "False"로 설정되어 있어야 양호이며 ".." 문자를 사용하여 상위 디렉터리로 접근하지 못합니다.
진단 스크립트상에는 asp enableParentPaths 레지스트리값으로 양호/취약 유무를 판단하며 해당 레지스트리값이 false로 출력이 되어야 합니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
반응형
'IT > 윈도우서버' 카테고리의 다른 글
| 주요정보통신기반시설 윈도우 서버 W-12 IIS CGI 실행 제한 (0) | 2023.07.22 |
|---|---|
| 주요정보통신기반시설 윈도우 서버 W-11 디렉토리 리스팅 제거 (0) | 2023.07.20 |
| 주요정보통신기반시설 윈도우 서버 W-09 불필요한 서비스 제거 (0) | 2023.06.08 |
| 주요정보통신기반시설 윈도우 서버 W-10 IIS 서비스 구동 점검 (0) | 2023.06.07 |
| 주요정보통신기반시설 윈도우 서버 W-08 하드디스크 기본 공유 제거 (0) | 2023.06.06 |
댓글