반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-044 | 기술적 보안 | 웹 서비스 파일 업로드 및 다운로드 용량 제한 | 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 | (상) [서비스 관리] U-40 웹서비스 파일 업로드 및 다운로드 제한 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함
● 보안위협
- 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음
● 판단기준
* 양호 - 파일 업로드 및 다운로드 용량 제한이 설정되어 있을 경우
* 취약 - 파일 업로드 및 다운로드 용량 제한이 설정되어있지 않을 경우
● 확인방법
- 웹 서비스 설정파일(httpd.conf) 내 LimitRequestBody 지시자에 파일 사이즈 용량 제한 설정여부 확인
# vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httdp.conf
[단위 : byte]
● 조치방법
- 사이즈 용량 설정은 5M를 넘지 않도록 설정 권장
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV046 (1) | 2023.08.31 |
|---|---|
| 서버 보안 취약점 평가_SRV045 (0) | 2023.08.31 |
| 서버 보안 취약점 평가_SRV043 (0) | 2023.08.30 |
| 서버 보안 취약점 평가_SRV042 (0) | 2023.08.29 |
| 서버 보안 취약점 평가_SRV-040 (0) | 2023.08.29 |