|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-31 |
|
취약점 개요 |
IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라는 가상 디렉터리를 생성하는데, 이 디렉터리에는 웹 서버를 통하여 패스워드를 변경시켜주는 기능 등을 하는 .HTR 파일이 존재함. 이러한 기능들이 필요하지 않을 경우 /issadmpwd를 제거하고 이 외 존재하는 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉터리를 삭제하여야 함. |
||||
|
보안대책 |
|||||
|
판단기준 |
양호: 해당 웹 사이트에 IIS Admin, IIS Adminpwd 가상 디렉터리가 존재하지 않는 경우 |
||||
|
취약: 해당 웹 사이트에 IIS Admin, IIS Adminpwd 가상 디렉터리가 존재하는 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
|||||
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 IIS Admin, IIS Adminpwd 삭제 |
||||
|
보안설정방법 |
|||||
|
■ IIS
5.0 1. 시작> 실행> INETMGR> 웹 사이트> IISAdmin, IISAdminpwd 선택> 삭제 ※ IIS 6.0 이상 버전 해당 사항 없음가. 영문 대문자(26개) |
|||||
Comments
Post a Comment