KISA 한국인터넷진흥원 21-03-31 기준
KISA 한국인터넷진흥원
www.kisa.or.kr
■ Windows 2000(IIS 5.0), 2003(IIS 6.0)
1) asa 매핑 등록 확인 인터넷 정보 서비스(IIS) 관리자> 웹 사이트> 해당 웹 사이트> 속성> [홈 디렉토리] 탭에서 구성> [매핑] 탭 선택 후 .asa 매핑이 등록되어 있는지 확인
2) asa 매핑 등록되어 있다면 특정 동작만 가능하도록 설정되어 있는지 확인
- [매핑] 탭에서 [편집] 내용이 다음과 동일하게 설정되어 있는지 확인
- 동사> 다음으로 제한> GET, HEAD, POST, TRACE 입력
- 스크립트 엔진 체크
- 파일이 있는지 확인 체크
■ Windows 2008(IIS 7.0), 2012(IIS 8.0), 2016(IIS 10.0), 2019(IIS 10.0)
- 총 2가지 항목에서 확인 필요
- 2가지 항목이 모두 아래의 방법과 같이 설정되어 있을 경우 취약하다고 볼 수 있으며, 한 가지 경우라도 설정이 되어 있지 않거나 해당 설정이 없을 시 양호하다고 판단함
1. asa / asax 스크립트 매핑 확인
1) 매핑이 없을 경우 양호 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> "처리기 매핑" 선택,
- 사용 항목에 *.asa / *.asax 등록되지 않을 경우 양호
※ 아래 이미지처럼 등록되어있지 않으면 양호 / 삭제 시, 양호
2. asa / asax 파일 필터링 확인
1) false 일 경우 양호
- 인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> IIS> “요청 필터링” 선택
- .asa / .asax 확장자가 false로 설정되어 있는지 확인
※ true 일 경우 제거하고 "파일 이름 확장명 거부" 에 등록
'IT > ㄴ Windows Vulnerabilities' 카테고리의 다른 글
| [Windows] 윈도우즈 서버 취약점 점검 W-20 [2.14 IIS 데이터 파일 ACL 적용] (0) | 2023.08.08 |
|---|---|
| [Windows] 윈도우즈 서버 취약점 점검 W-19 [2.13 IIS 가상 디렉토리 삭제] (0) | 2023.08.08 |
| [Windows] 윈도우즈 서버 취약점 점검 W-17 [2.11 IIS 파일 업로드 및 다운로드 제한] (0) | 2023.08.08 |
| [Windows] 윈도우즈 서버 취약점 점검 W-16 [2.10 IIS 링크 사용금지] (0) | 2023.08.08 |
| [Windows] 윈도우즈 서버 취약점 점검 W-15 [2.9 웹 프로세스 권한 제한] (0) | 2023.08.08 |