[윈도우 보안] 서비스 관리 - IIS 파일 업로드 및 다운로드 제한
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- 대량의 파일 업로드 및 다운로드로 인하여 서비스 불능상태가 발생할 수 있으므로 불필요한 업로드 및 다운로드의 용량을 제한하여야 함. 또한, 대량의 파일 용량을 허용할 경우 웹 취약점으로 인하여 중요 정보가 대량으로 유출될 위험성이 있음.
■ 보안대책
- 양호 : 웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는 경우
- 취약 : 웹 프로세스의 서버 자원을 관리하지 않는 경우 (업로드 및 다운로드 용량 미 제한)
■ 조치방법
- 파일 업로드 및 다운로드 용량을 허용할 수 있는 최소 범위로 설정
■ 보안설정 방법
◆ Windows NT, 2000, 2003
1. 시작 -> 실행 -> SERVICES.MSC -> IISADMIN -> 속성 -> [일반] 탭에서 서비스 중지
2. %systemroot%\system32\inetsrv\MetaBase.xml 파일을 찾아 편집기로 OPEN
3. AspMaxRequestEntityAllowed 값을 찾아 파일 업로드 용량을 최소 범위로 제한
4. AspBufferingLimit 값을 찾아 파일 다운로드 용량을 최소 범위로 제한
5. 시작 -> 실행 -> SERVICES.MSC -> IISADMIN -> 속성 -> [일반] 탭에서 서비스 시작
◆ Windows 2008
1. 등록된 웹 사이트의 root 디렉토리에 있는 web.config 파일 내 아래 항목 추가
(web.config 파일이 없으면 사이트 홈 디렉토리에 새로 생성)
<configuration> <system.webServer> <security> <requestFiltering> <requestLimits maxAllowedContentLength="콘텐츠용량" /> </requestFiltering> </security> </system.webServer> <configuration> |
%systemroot%\system32\inetsrv\config\applicationHost.config 파일 내 아래 항목 추가
<system.webServer> <asp> <limits bufferingLimit="파일다운로드용량" maxRequestEntityAllowed="파일업로드용량" /> </asp> </system.webServer> |
※ Default 설정 값
(1) maxAllowedContentLength (콘텐츠 용량) => Default : 30Mb
(2) MaxRequestEntityAllowed (파일 업로드 용량) => Default : 200,000 byte
(3) bufferingLimit (파일 다운로드 용량) => Default : 4MB (4,194,304 byte)
■ 조치 시 영향
- 일반적으로 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 서비스 관리 - IIS 가상 디렉토리 삭제 (0) | 2018.01.11 |
|---|---|
| [윈도우 보안]- 서비스 관리 - IIS DB 연결 취약점 점검 (0) | 2018.01.11 |
| [윈도우 보안] 서비스 관리 - IIS 링크 사용금지 (0) | 2018.01.10 |
| [윈도우 보안] 서비스 관리 - IIS 웹 프로세스 권한 제한 (0) | 2018.01.09 |
| [윈도우 보안] 서비스 관리 - IIS 불필요한 파일 제거 (0) | 2018.01.09 |