|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-30 |
|
|
취약점 개요 |
Global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소,웹 애플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음. |
|||||
|
보안대책 |
||||||
|
판단기준 |
양호: .asa 매핑 시 특정 동작만 가능하도록 제한하여 설정한 경우 또는 매핑이 없을 경우 |
|||||
|
취약: .asa 매핑 시 모든 동작이 가능하도록 설정된 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
||||||
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 .asa 매핑을 아래 그림과 같이 추가 |
|||||
|
보안설정방법 |
||||||
|
■ IIS
5.0, 6.0 1. asa 매핑 등록 확인 인터넷 정보 서비스(IIS) 관리자> 웹 사이트> 해당 웹 사이트> 속성> [홈 디렉터리] 탭에서 구성> [매핑] 탭 선택 후 .asa 매핑이 등록되어 있는지 확인 2. asa 매핑 등록되어 있지 않은 경우 asa 매핑 등록 인터넷 정보 서비스(IIS) 관리> 웹 사이트> 해당 웹 사이트> 속성> [홈 디렉터리] 탭에서 구성> [매핑] 텝> [추가] 버튼을 클릭하여 asa 매핑 등록)
■ IIS
7.0 총 2가지 항목에서 확인 필요 2가지 항목이 모두 아래의 방법(가, 나)과 같이 설정되어 있을 경우 취약하다고 볼 수 있으며, 한 가지 경우라도 설정이 되어있지 있거나 해당 설정이 없을 시 양호하다고 판단함 1. asa / asax 스크립트 매핑 확인 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> "처리기 매핑" 선택, 사용 항목에 *.asa / *.asax가 사용 상태로 등록되어 있는지 확인 2. asa / asax 파일 필터링 확인 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> “요청 필터링” 선택, .asa / .asax 확장자가 True로 설정되어 있는지 확인 3. 조치방법 Global.asa /
Global.asax 파일을 사용하지 않는 경우 처리기 매핑에서 *.asa / *.asax 파일을 사용 안 함으로 설정, 파일을 사용해야 하는 경우 요청 필터링에서 해당 확장자를 False로 설정 가.
asa / asax 스크립트 매핑 해제 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> "처리기 매핑" 선택, 사용 항목에 *.asa / *.asax를 선택하여 우측 [작업] 탭에서 제거 나.
asa / asax 파일 필터링 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> “요청 필터링” 선택, 우측 [작업] 탭에서 “파일 이름 확장명 거부” 선택하여 .asa / .asax 확장자 등록 |
||||||
Comments
Post a Comment