주요정보통신기반시설 윈도우 서버 W-18 IIS DB 연결 취약점 점검

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-18 IIS DB 연결 취약점 점검 점검항목에 대해 알아보겠습니다.

 

항목명		IIS DB 연결 취약점 점검
항목코드		W-18
위험도		상
점검내용		Global.asa 또는 별도의 DB 컨넥션을 하는 파일에 대한 취약점 점검
점검목적		DB 컨넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함

보안위협		global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음 ※ global.asa 파일: 각각의 ASP(Active Server Pages) 프로그램을 위해 IIS 서버상에서 관리되는 파일. IIS 서버는 IIS 프로그램이 시작하고 정지할 때, 혹은 웹 클라이언트가 ASP 프로그램의 웹 페이지들을 액세스하는 브라우저 세션들을 시작하고 정지할 때 자동적으로 global.asa 파일을 처리함
판단기준	양호	.asa 매핑 시 특정 동작만 가능하도록 제한하여 설정한 경우 또는 매핑이 없을 경우
	취약	.asa 매핑 시 모든 동작이 가능하도록 설정한 경우
조치방법		사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 .asa 매핑을 아래 그림과 같이 특정 동작만 가능하도록 추가(IIS 6.0) / asa 설정을 false 함(7.0, 8.0, 10.0)

 

■ 실습

해당 점검항목은 윈도우 서버의 asa, asax 스크립트 매핑 및 파일 필터링 여부를 확인하여 양호/취약을 판단합니다. 아래 메뉴를 통해 확인하시기 바랍니다.

1. asa, asax 스크립트 매핑 확인하며 매핑이 없을 경우 양호

인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> "처리기 매핑" 선택, 사용 항목에 *.asa, *.asax 등록되지 않을 경우 양호

asa 및 asax 스크립트 매핑이 없으므로 양호

 

 

2. asa, asax 파일 필터링 확인하며 false일 경우 양호

인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> “요청 필터링” 선택, .asa, .asax 확장자가 false로 설정되어 있는지 확인

asa 및 asax 파일 필터링이 false로 등록되어 있으므로 양호함

 

■ 진단 스크립트상 진단 결과

asa / asax 파일 필터링이 존재할 경우 <add fileExtension=".asax" allowed="false" />, <add fileExtension=".asa" allowed="false" />와 같이 진단 스크립트 결과를 확인할 수 있습니다.

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.