|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-24 |
|
취약점 개요 |
*CGI 스크립트는 정해진 디렉터리에서만 실행되도록 하여야 함. 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉터리에 CGI 스크립트가 실행 가능하다면 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음. *CGI(Common Gateway Interface): 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램. |
||||
|
보안대책 |
|||||
|
판단기준 |
양호: 해당 디렉터리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되지 않은경우 |
||||
|
취약: 해당 디렉터리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되어 있는경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|||||
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 Everyone에 모든 권한, 수정 권한 쓰 기 권한 제거 후 Administrators, System 그룹 추가(모든 권한) |
||||
|
보안설정방법 |
|||||
|
■ IIS
5.0, 6.0, 7.0 1. 탐색기> 해당 디렉터리> 속성> 보안 (기본 CGI 디렉터리 위치 C:\inetpub\scripts) 2. Everyone 의 모든 권한, 수정 권한, 쓰기 권한 제거 |
|||||
Comments
Post a Comment