Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- CPU 스케줄링
- 정보보안기사
- csts요약본
- 정보보안 컨설팅
- 케이쉴드주니어 13기
- 정보보호 취업
- 디스크 스케줄링
- 솔루션 개발
- k-shield
- 정보보안 취업
- csts일반등급
- csts출제기준
- 정보보안전문가
- csts 일반등급 후기
- csts 후기
- k-shield 주니어 14기
- csts기출문제
- csts 일반등급
- 정보보안기사 실기
- 보안솔루션 운영
- 모의해킹
- 파일 시스템
- 케이쉴드주니어
- 정보보안기사 후기
- 케이쉴드주니어 14기
- csts요약
- csts기출
- csts범위
- ISMS-P
- CSTS
Archives
- Today
- Total
CyberRanger
W-13(상) IIS 상위 디렉토리 접근 금지 본문
취약점 개요
이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
“..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
※ “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함
점검 방법
(for /f "tokens=1 delims= " %i in ('%windir%\system32\inetsrv\appcmd list site /text:name') do (
echo %i
%windir%\system32\inetsrv\appcmd list config "%i" /section:asp | findstr "enableParentPaths"
)) > result.txt명령 결과 예시:
Default Web Site
enableParentPaths="false"
MyApp
enableParentPaths="true"
TestSite
enableParentPaths="false"enableParentPaths=”false”인지 점검
enableParentPaths="false" 상위 디렉터리 접근 차단됨 (양호)
enableParentPaths="true" 상위 디렉터리 접근 허용됨 (취약)
판단 기준
양호 : 상위 디렉토리 접근 기능을 제거한 경우
취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우
조치 방법
Step 1) 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> IIS> ASP 선택, "부모 경로 사용" 항목 "False" 설정 확인
'주요정보통신기반시설 인프라 > Windows Server' 카테고리의 다른 글
| W-11(상) 디렉토리 리스팅 제거 (0) | 2025.01.28 |
|---|---|
| W-10(상) IIS 서비스 구동 점검 (0) | 2025.01.28 |
| W-09(상) 불필요한 서비스 제거 (0) | 2025.01.28 |
| W-08(상) 하드디스크 기본 공유 제거 (0) | 2025.01.28 |
| W-07(상) 공유 권한 및 사용자 그룹 설정 (0) | 2025.01.28 |