반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-047 | 기술적 보안 | 웹 서비스 경로 내 불필요한 링크 파일 존재 | 웹 서버에 설정된 웹 서비스 루트 경로를 벗어나는 외부 링크 파일이 있다면, 공격자에 의한 비인가 접근 가능성이 존재하므로 불필요한 링크 파일 존재 여부를 점검 | (상) [서비스 관리] U-39 웹서비스 링크 사용 금지 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함
● 보안위협
- 웹 루트 폴더(DocumentRoot)에 root 디렉터리(/)를 링크하는 파일이 있으며 디렉터리 인덱싱 기능이 차단되어 있어도 root 디렉터리 열람이 가능함
● 판단기준
* 양호 - 웹 서비스 경로 내에 불필요한 링크가 존재하지 않거나, 링크를 허용하는 설정이 비활성화된 경우(심볼링 링크 사용 제한)
* 취약 - 웹 서비스 경로 내에 불필요한 링크가 존재하고 링크를 허용하는 설정이 활성화된 경우
● 확인방법
- 웹 서비스 설정파일(httpd.conf) 내 Options 지시자FollowSymLinks 옵션 여부 확인
# vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httdp.conf
● 조치방법
- Options 지시자 FollowSymLinks 삭제
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV060 (0) | 2023.09.05 |
|---|---|
| 서버 보안 취약점 평가_SRV048 (0) | 2023.09.01 |
| 서버 보안 취약점 평가_SRV046 (0) | 2023.08.31 |
| 서버 보안 취약점 평가_SRV045 (0) | 2023.08.31 |
| 서버 보안 취약점 평가_SRV044 (0) | 2023.08.30 |