|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-29 |
||
|
취약점 개요 |
대량의 파일 업로드 및 다운로드로 인하여 서비스 불능상태가 발생할 수 있으므로 불필요한 업로드 및 다운로드의 용량을 제한하여야 함. 또한, 대량의 파일 용량을 허용할 경우 웹 취약점으로 인하여 중요 정보가 대량으로 유출될 위험성이 있음. |
||||||
|
보안대책 |
|||||||
|
판단기준 |
양호: 웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는경우 |
||||||
|
취약: 웹 프로세스의 서버 자원을 관리하지 않는 경우 (업로드 및 다운로드 용량 미 제한) |
|||||||
|
조치방법 |
업로드 및 다운로드 용량을 허용할 수 있는 최소 범위로 설정 |
||||||
|
보안설정방법 |
|||||||
|
■
Windows NT, 2000, 2003 1. 시작> 실행> SERVICES.MSC> IISADMIN> 속성> [일반] 탭에서 서비스 중지 2.
%systemroot%\system32\inetsrv\MetaBase.xml 파일을 찾아 편집기로 OPEN 3.
AspMaxRequestEntityAllowed 값을 찾아 파일 업로드 용량을 최소 범위로 제한 4.
AspBufferingLimit 값을 찾아 파일 다운로드 용량을 최소 범위로 제한 5. 시작> 실행> SERVICES.MSC> IISADMIN> 속성> [일반] 탭에서 서비스 시작 ■
Windows 2008, 2012, 2016, 2019 1. 등록된 웹 사이트의 루트 디렉터리에 있는 web.config 파일 내 아래 항목 추가 (web.config 파일이 없으면 사이트 홈 디렉터리에 새로 생성)
%systemroot%\system32\inetsrv\config\applicationHost.config
파일 내 아래 항목 추가
※ Default 설정 값 (1) maxAllowedContentLength
(콘텐츠 용량) => Default: 30MB (2)
MaxRequestEntityAllowed (파일 업로드 용량) => Default: 200000 byte (3) bufferingLimit
(파일 다운로드 용량)=> Default: 4MB(4194304 byte) |
|||||||
Comments
Post a Comment