일반사항
- 점검내용 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검
- 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리 케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함
- 보안위협 : IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않 을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위 험이 존재함
- 점검대상 및 판단기준
- 대상 : Windows 2000, 2003
- 판단기준
- 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우취약 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하는 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함
- 점검 및 조치
- Sample 디렉토리 확인 후 삭제함
- c:\inetpub\iissamples
- c:\winnt\help\iishelp (IIS 설명서)
- c:\program files\common files\system\msadc\sample (데이터 액세스)
- %SystemRoot%\System32\Inetsrv\IISADMPWD
- IIS 7.0(Windows 2008) 이상 버전 해당 사항 없음
- Sample 디렉토리 확인 후 삭제함
스크립트
@echo off
chcp 437 >nul 2>&1
:W_14
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_13.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-14] IIS Unneeded Directory Check >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Check whether IIS Unneeded Directory Exist >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: RESULT : Always "Need Review" >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
cd c:\inetpub\iissamples >nul 2>&1
if %errorlevel% EQU 0 (
echo SAMPLE IIS File Exist c:\inetpub\iissamples >> %DETAIL_FILE%
)
type c:\winnt\help\iishelp >nul 2>&1
if %errorlevel% EQU 0 (
echo IIS Help Exist >> %DETAIL_FILE%
)
echo %result%
echo W-14 = Need Review >> %OUTPUT_FILE%
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INSPECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INPSECT_OUTPUT.txt : 언제나 Need Review다.
- W_14.txt : 불필요파일과 헬퍼, Sample의 점검결과가 포함된다.
첨언
불필요파일은 말그대로 불필요일 수도 있는데, 그냥 관심이 관리자의 관심부족일 수도 있으니 말이다. Attack Surface를 넓힌다는 의미에서는 제거하는게 맞겠지만, 이건 대하소설급으로 스토리를 짜야 이해가된다.
[KISA 주요정보통신기반시설] 취약점 분석 스크립트 올리기
KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사
tutoreducto.tistory.com
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
| [KISA 주요정보통신기반시설] W-24 NetBIOS 바인딩 서비스 구동 점검 (2) | 2022.11.03 |
|---|---|
| [KISA 주요정보통신기반시설] W-19 IIS 가상 디렉토리 삭제 [미완] (0) | 2022.11.03 |
| [KISA 주요정보통신기반시설] W-13 IIS 상위 디렉토리 접근 금지 (0) | 2022.06.01 |
| [KISA 주요정보통신기반시설] W-12 IIS CGI 실행 제한 (0) | 2022.03.01 |
| [KISA 주요정보통신기반시설] W-11 IIS 디렉토리 검색 비활성화 (0) | 2022.03.01 |