반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-040 | 기술적 보안 | 웹 서비스 디렉터리 리스팅 방지 설정 미흡 | 디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검 | (하) [서비스 관리] U-35 웹서비스 디렉토리 리스팅 제거 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로함
● 보안위협
- 디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리 내 파일이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스 파일, 공개되어서는 안되는 파일 등이 노출 가능함
● 판단기준
* 양호 - 디렉터리 리스팅이 허용되지 않은 경우
* 취약 - 디렉터리 리스팅이 허용된 경우
● 확인방법
- apache 웹 설정파일 내 Indexes 옵션 설정여부 확인(
# vi /etc/conf/httpd.conf 또는 /ect/httpd/conf/httpd.conf
Options 지시자에서 Indexes 옵션 포함되어 있으면 취약함
● 조치방법
- Indexes 옵션 제거
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV043 (0) | 2023.08.30 |
|---|---|
| 서버 보안 취약점 평가_SRV042 (0) | 2023.08.29 |
| 서버 보안 취약점 평가_SRV-037 (0) | 2023.08.23 |
| 서버 보안 취약점 평가_SRV-035 (2) | 2023.08.09 |
| 서버 보안 취약점 평가_SRV-034 (0) | 2023.08.09 |