■ 개념
주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-21 IIS 미사용 스크립트 매핑 제거 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
| 항목명 |
IIS 미사용 스크립트 매핑 제거
|
|
| 항목코드 | W-21 | |
| 위험도 | 상 | |
| 점검내용 |
IIS 미사용 스크립트 매핑 제거 여부 점검
|
|
| 점검목적 |
사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함
|
|
| 보안위협 |
미사용 확장자 매핑을 제거하지 않은 .htr .idc .stm .shtm .shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함
※ 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함 ※ .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어, 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨 ※ 스크립트 매핑: IIS는 클라이언트가 요청한 자원의 파일 확장자에 따라서 이를 처리할 ISAPI 확장 핸들러를 지정하게 되어 있는데 이를 스크립트 매핑이라고 함 ※ 버퍼 오버플로우(Buffer Overflow): 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것 |
|
|
판단기준
|
양호 |
취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하지 않는 경우
|
| 취약 |
취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하는 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|
| 조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 취약한 매핑 제거
|
|
■ 실습
해당 점검항목은 윈도우 서버의 미사용 또는 보안에 취약한 확장자 제한 유무를 판단하여 양호/취약을 판단합니다. 아래 표를 통해 보안에 취약한 확장자를 확인하시기 바랍니다.
| 확장자명 | 기능 | 취약점 |
| asp | Active Server Pages 기능 지원 |
Buffer Overflow MS02-018
- Win 2000 SP3 이상 양호 |
| htr | Web-based password reset: Outlook Web Access 등에서 웹 기반 응용 프로그램으로 자신의 사용자 계정 암호 변경 | +.htr 소스 공개 취약점 MS01-004 - Win 2000 SP3, NT SP 7.0 이상 양호 |
| idc | Internet Database Connector: SQL 서버에 연결하기 위한 정보 등을 관리함. asp를 통해 같은 작업을 수행 가능 |
Web 디렉토리 패스 공개 Q193689
- NT4.0, NT SP6a이상 양호 |
| stm, stml, shtml |
Server-Side Includes |
Buffer Overflow MS01-044
- Win 2000 SP3 이상 양호 |
| printer | Internet Printing : URL을 사용하여 페이지를 프린터로 인쇄할 수 있도록 함 IIS가 인터넷이나 인트라넷을 통해 인쇄 서버 기능 수행 |
Buffer Overflow MS01-023
- Win 2000 SP2 이상 양호 |
| ida, idq | Index Server : idq.dll에 매핑되며 인덱스 서버를 쿼리할 때 사용 |
Buffer Overflow MS01-033
- Win 2000 SP3 이상 양호 |
| htw | Index Server : webhits.dll에 매핑되며, 인덱스 서버를 쿼리할 때 사용 |
Webhit 소스 공개 취약점 MS00-006
- Win 2000 SP1 이상 양호 |
■ 확인 메뉴
- 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트> 처리기 매핑 선택
- 취약한 확장자 매핑 제거(.htr, .idc, .stm, .shtm, .shtml, .printer, .htw, .ida, .idq)
■ 진단 스크립트상 내용
- <add name="shtml" path="*.shtml" verb="*" modules="IsapiModule" scriptProcessor="C:\Windows\System32\inetsrv\shtml.dll" resourceType="File" preCondition="bitness32" />
위와 같이 취약한 확장자(shtml)가 매핑되어 있는 것을 확인할 수 있습니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
수고하셨습니다.
궁금한 사항은 댓글로 남겨주세요.
반응형
'주요정보통신기반시설 취약점 진단 > 윈도우서버' 카테고리의 다른 글
| 주요정보통신기반시설 윈도우 서버 W-23 IIS WebDAV 비활성화 (0) | 2026.01.21 |
|---|---|
| 주요정보통신기반시설 윈도우 서버 W-22 IIS Exec 명령어 쉘 호출 진단 (0) | 2026.01.20 |
| 주요정보통신기반시설 윈도우 서버 W-20 IIS 데이터 파일 ACL 적용 (0) | 2026.01.14 |
| 주요정보통신기반시설 윈도우 서버 W-19 IIS 가상 디렉토리 삭제 (0) | 2026.01.13 |
| 주요정보통신기반시설 윈도우 서버 W-18 IIS DB 연결 취약점 점검 (0) | 2026.01.12 |
댓글