[윈도우 보안]- 서비스 관리 - IIS DB 연결 취약점 점검

[윈도우 보안]- 서비스 관리 - IIS DB 연결 취약점 점검

■ 대상 OS

    - Windows NT, 2000, 2003, 2008

■ 취약점 개요

    - 양호 : .asa 매핑이 존재하는 경우

    - 취약 : .asa 매핑이 존재하지 않는 경우

      ※ 조치 시 마스터 속성과 모든 사이트에 적용함

■ 조치 방법

    - 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 .asa 매핑을 아래 그림과 같이 추가

■ 보안설정 방법

    ◆ IIS 5.0, 6.0

        1. asa 매핑 등록 확인

           - 인터넷 정보 서비스(IIS) 관리자 -> 웹 사이트 -> 해당 웹 사이트 -> 속성 -> [홈 디렉토리] 탭에서

              구성 -> [매핑] 탭 선택 후 .asa 매핑이 등록되어 있는지 확인

        2. asa 매핑이 등록되어 있지 않은 경우 asa 매핑 등록

           - 인터넷 정보 서비스(IIS) 관리 -> 웹 사이트 -> 해당 웹 사이트 -> 속성 -> [홈 디렉토리] 탭에서

              구성 -> [매핑] 탭 -> [추가] 버튼을 클릭하여 asa 매핑 등록

실행 파일 : %SystemRoot%\System32\Inetsrv\asp.dll 확장자명 : .asa 동사 다음으로 제한 : GET, HEAD, POST, TRACE 스크립트 엔지(체크), 파일이 있는지 확인(체크)

    ◆ IIS 7.0

        - 총 2가지 항목에서 확인 필요

        - 2가지 항목이 모두 아래의 방법(가, 나)과 같이 설정되어 있을 경우 취약하다고 볼 수 있으며, 한 가지 경우라도 설정이 되어있지 않거나 해당 설정이 없을 시 양호 하다고 판단 함

        1. asa / asax 스크립트 매핑 확인

           - 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> IIS -> "처리기 매핑" 선택, 사용 항목에 *.asa / *.asax 가 사용 상태로 등록되어 있는지 확인

        2. asa / asax 파일 필터링 확인

           - 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> IIS -> "요청 필터링" 선택, .asa / asax 확장자가 True 로 설정되어 있는지 확인

        3. 조치 방법

            - Global.asa / Global.asax 파일을 사용하지 않는 경우 처리기 매핑에서 *.asa / *.asax 파일을 사용 안함으로 설정, 파일을 사용해야 하는 경우 요청 필터링에서 해당 확장자를 False로 설정

            가. asa / asax 스크립트 매핑 해제

                - 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> IIS -> "처리기 매핑" 선택, 사용 항목에 *.asa / *.asax 를 선택하여 우측 [작업] 탭에서 제거

            나. asa / asax 파일 필터링

                - 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> IIS -> "요청 필터링" 선택, 우측 [작업] 탭에서 "파일 이름 확장명 거부" 선택하여 .asa / .asax 확장자 등록

■ 조치 시 영향

    - 일반적으로 영향 없음

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기