|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
중 |
Code |
W-45 |
|
취약점 개요 |
에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하여야 함. 이러한 정보가 노출된다면 공격에 필요한 정보를 수집하는 데 도움이 될 수 있음. |
||||
|
보안대책 |
|||||
|
판단기준 |
양호: 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우 |
||||
|
취약: 웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우 |
|||||
|
조치방법 |
발생 가능한 각 에러에 대한 별도의 웹 서비스 에러 페이지를 지정함 |
||||
|
보안설정방법 |
|||||
|
■
Windows 2000, 2003 인터넷 정보 서비스(IIS) 관리> 속성> [사용자 지정 오류] 탭에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지를 지정 ■
Windows 2008, 2012, 2016, 2019 1. 에러 메시지 설정 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> [오류 페이지]에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지를 지정 2. 오류 페이지 설정 편집 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> 오류 페이지> [기능 설정 편집]에서 “서버오류 발생 시 다음 반환“ 항목을 ”사용자 지정 오류 페이지“로 설정 |
|||||
Comments
Post a Comment