|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-23 |
||||||||
|
취약점 개요 |
디렉터리 검색은 디렉터리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만, 기본 페이지가 존재하지 않는 경우 디렉터리 내에 존재하는 모든 파일의 목록을 보여줌. 따라서 디렉터리 검색이 허용될 경우 외부에서 디렉터리 내의 모든 파일에 대한 접근이 가능하므로 중요한 파일들이 노출될 수 있음. |
||||||||||||
|
보안대책 |
|||||||||||||
|
판단기준 |
양호: “디렉터리 검색”이 체크되어 있지 않은 경우 |
||||||||||||
|
취약: “디렉터리 검색”이 체크되어 있는 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|||||||||||||
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 디렉터리 검색 체크 해제 |
||||||||||||
|
보안설정방법 |
|||||||||||||
■ IIS
5.0, 6.0 1. 시작> 실행> INETMGR> 웹 사이트> 속성> 홈 디렉터리 2. “디렉터리 검색” 체크 해제 ■ IIS
7.0 1. 인터넷 정보 서비스(IIS) 관리> 해당 웹 사이트> IIS> “디렉터리 검색” 선택 후 “사용 안 함” 선택 |
|||||||||||||
Comments
Post a Comment