※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-042 | 기술적 보안 | 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 | 상위 디렉터리로 이동이 가능하면 하위 경로에 접속한 후 상위로 이동하여 중요 파일들에 대한 접근이 가능한 위협이 존재하므로 ".."와 같은 상위 경로를 사용하지 못하도록 적절하게 설정하였는지 점검 | (하) [서비스 관리] U-37 웹서비스 상위 디렉토리 접근 금지 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 상위 경로 이동 명령으로 비인가자의 특정 디렉터리에 대한 접근 및 열람을 제한하여 중요 파일 및 데이터 보호를 목적으로 함
● 보안위협
- 상위 경로로 이동하는 것이 가능할 경우 접근하고자 하는 디렉터리의 항위 경로에 접속하여 상위경로로 이동함으로써 악의적인 목적을 가진 사용자의 접근이 가능함
● 판단기준
* 양호 - Directory Traversal 취약점이 존재하지 않는 경우
* 취약 - Directory Traversal 취약점이 존재하는 웹 서버 버전을 사용하는 경우, 또는 상위 디렉터리에 이동제한을 설정하지 않은 경우
● 확인방법
- 웹 서비스 설정 파일(httpd.conf) 내 AllowOverride 지시자의 옵션 설정 확인
# vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httpd.conf
옵션이 None 인 경우 취약
● 조치방법
step 1) AllowOverride 지시자의 옵션값 변경 (None -> AuthConfig 또는 All)
step 2) 수정한 옵션 설정에 해당하는 디렉터리 하위에 .htaccess 파일 생성
/var/www/html 확인
step 3) .htaccess 파일에 아래 내용 입력
step 4) AuthUserFile 에서 지정한 경로에 계정정보를 생성(해당 경로에 디렉토리 없으면 생성)
# htpasswd -c /usr/local/apache/test/.auth test
step 5) apache 서비스 재시작
# service httpd restart
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV044 (0) | 2023.08.30 |
|---|---|
| 서버 보안 취약점 평가_SRV043 (0) | 2023.08.30 |
| 서버 보안 취약점 평가_SRV-040 (0) | 2023.08.29 |
| 서버 보안 취약점 평가_SRV-037 (0) | 2023.08.23 |
| 서버 보안 취약점 평가_SRV-035 (3) | 2023.08.09 |