정보보안-이론/KISA주요정보통신기반시설 취약점가이드
[KISA 주요정보통신기반시설] W-24 NetBIOS 바인딩 서비스 구동 점검
일반사항 점검내용 : NetBIOS 바인딩 서비스 구동 여부 점검 점검목적 : NetBIOS와 TCP/IP 바인딩을 제거하여 TCP/IP를 거치게 되는 파일 공유서비 스를 제공하지 못하도록 하고, 인터넷에서의 공유자원에 대한 접근 시도를 방지하고자 함 보안위협 : 인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려 존재 참고 : NetBIOS(Network Basic Input/Output System)는 별개의 컴퓨터상에 있는 애플리케이 션들이 근거리통신망 내에서 서로 통신 할 수 있게 해주는 프로그램. IBM pc를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를 제공하며 NetB..
[KISA 주요정보통신기반시설] W-14 IIS 불필요한 파일 제거
일반사항 점검내용 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리 케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함 보안위협 : IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않 을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위 험이 존재함 점검대상 및 판단기준 대상 : Windows 2000, 2003 판단기준 양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우취약 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉..
[KISA 주요정보통신기반시설] W-13 IIS 상위 디렉토리 접근 금지
일반사항 점검내용 : IIS 상위 디렉토리 접근 금지 설정 적용 여부 점검 점검목적 : “..” 와 같은 웹서버 상에서 상위 경로를 사용하지 못하도록 설정하여 Unicode 버그 및 서비스 거부 공격에 이용당하지 않도록 하기 위함 보안위협 : 이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근 하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성이 존재함 참고 : “..” 는 unicode 버그, 서비스 거부와 같은 공격에 쉽게 이용되므로 허용하지 않는 것 을 권장함 점검대상 및 판단기준 대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019 판단기준 양호 : 상위 디렉토리 접근 기능을 제거한 경우 취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우 ..
[KISA 주요정보통신기반시설] W-12 IIS CGI 실행 제한
일반사항 점검내용 : IIS CGI 실행 제한 설정 여부 점검 점검목적 : CGI 스크립트를 정해진 디렉토리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함 보안위협 : 게시판이나 자료실과 같이 업로드 되는 파일이 저장되는 디렉토리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 수 있음. 참고 CGI(Common Gateway Interface): 사용자가 서버로 보낸 데이터를 서버에서 작동중인데이터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램 일반적으로 기본 CGI 디렉토리(C:\inetpub\scripts)는 사용하지 않음 점검대..
[KISA 주요정보통신기반시설] W-11 IIS 디렉토리 검색 비활성화
일반사항 점검내용 : 웹서버 디렉토리 리스팅 차단 설정 여부 점검 점검목적 : 웹서버 특정 폴더에 대한 디렉토리 리스팅 취약점을 제거하여, 불필요한 파일 정보 노출을 차단하기 위함 보안위협 : 웹서버에 디렉토리 리스팅이 제거되지 않은 경우 외부에서 디렉토리 내에 보유하고 있는 모든 파일 목록 확인 및 파일에 대한 접근이 가능하여 주요 정보의 유출의 가능성이 있음 참고 : 디렉토리 리스팅 취약점: 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송하지만, 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여주는 취약점 점검대상 및 판단기준 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 : "디렉토리 검색" 체크하지 ..