취약점 개요

이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함

“..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함

※ “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것을 권장함

점검 방법

(for /f "tokens=1 delims= " %i in ('%windir%\system32\inetsrv\appcmd list site /text:name') do (
    echo %i
    %windir%\system32\inetsrv\appcmd list config "%i" /section:asp | findstr "enableParentPaths"
)) > result.txt

명령 결과 예시:

Default Web Site
    enableParentPaths="false"

MyApp
    enableParentPaths="true"

TestSite
    enableParentPaths="false"

enableParentPaths=”false”인지 점검

enableParentPaths="false" 상위 디렉터리 접근 차단됨 (양호)

enableParentPaths="true" 상위 디렉터리 접근 허용됨 (취약)

판단 기준

양호 : 상위 디렉토리 접근 기능을 제거한 경우

취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우

조치 방법

Step 1) 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> IIS> ASP 선택, "부모 경로 사용" 항목 "False" 설정 확인