일반사항
- 점검내용 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검
- 점검목적 : “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함
- 보안위협 : 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근 하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함
- 참고 : “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것 을 권장함
- 점검대상 및 판단기준
- 대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
- 양호 : 상위 디렉토리 접근 기능을 제거한 경우
- 취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우
- 점검 및 조치 : 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 상위 디렉토리 접근 기능 제거
스크립트
@echo off
chcp 437 >nul 2>&1
:W_13
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_13.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-13] IIS Access Parent Path >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Check whether IIS ASP can Access to Parent Path >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: PASS : IIS Access Parent Is False >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
cd %systemroot%\System32\inetsrc\ >nul 2>&1
appcmd.exe list config | find /i "asp enableParentPaths' | find /i "true" >nul 2>&1
if %errorlevel% EQU 0 (
set result=W-13 = FAIL
echo IIS Access Parent Path Enabled >> %DETAIL_FILE%
) else (
set result=W-13 = FAIL
echo IIS Access Parent Path Dislabled >> %DETAIL_FILE%
)
echo %result%
echo %result% >> %OUTPUT_FILE%
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INSPECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INPSECT_OUTPUT.txt : 결과가 들어가 있다.
- W_XX.txt : 점검결과에 대한 세부사항이 들어가 있다.
첨언
뭐.. 상위디렉털리로 접근하는거를 포함해서 ..이나 이걸 허용하는거 부터가 웃기긴한다. 내부적으로 사용하는 특징이 아닐라면 비활성화 해두자, IIS를 구축하는 경우에는 Default로 Disable 상태로 설정되어있는 기능이다.
[KISA 주요정보통신기반시설] 취약점 분석 스크립트 올리기
KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사
tutoreducto.tistory.com
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
| [KISA 주요정보통신기반시설] W-19 IIS 가상 디렉토리 삭제 [미완] (0) | 2022.11.03 |
|---|---|
| [KISA 주요정보통신기반시설] W-14 IIS 불필요한 파일 제거 (0) | 2022.06.01 |
| [KISA 주요정보통신기반시설] W-12 IIS CGI 실행 제한 (0) | 2022.03.01 |
| [KISA 주요정보통신기반시설] W-11 IIS 디렉토리 검색 비활성화 (0) | 2022.03.01 |
| [KISA 주요정보통신기반시설] W-10 IIS 서비스 구동 점검 (0) | 2022.02.27 |