반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-046 | 기술적 보안 | 웹 서비스 경로 설정 미흡 | 웹 서비스 경로를 기타 업무와 영역이 분리되지 않은 경로로 설정하거나, 불필요한 경로가 존재할 경우 외부에서 시스템의 중요 파일이나 기능에 비인가 접근이 발생할 위협이 존재하므로 웹 서비스 경로 설정의 적절성을 점검 | (상) [서비스 관리] U-41 웹서비스 영역의 분리 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템 영역으로 확장될 가능성을 최소화하기 위함
● 보안위협
- 웹 서버의 루트 디렉터리와 OS의 루트 디렉터리를 다르게 지정하지 않았을 경우, 비인가자가 웹 서비스를 통해 해킹이 성공할 경우 시스템 영역까지 접근이 가능하여 피해가 확장될 수 있음
● 판단기준
* 양호 - 웹 서비스 경로 중 "/"등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하지 않을 경우(DocumentRoot를 별도 디렉터리로 지정한 경우)
* 취약 - 웹 서비스 경로 중 "/"등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하는 경우
● 확인방법
- 웹 서비스 설정파일(httpd.conf) 내 DocumentRoot의 디렉터리 지정 여부 확인
# vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httdp.conf
[기본 디렉터리]
/usr/local/apache/htdocs
/usr/local/apache2/htdocs
/var/www/html
● 조치방법
- 위 3개의 기본 디렉터리가 아닌 별도의 디렉터리로 변경
DocumentRoot "다른 디렉터리 절대경로"
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV048 (0) | 2023.09.01 |
|---|---|
| 서버 보안 취약점 평가_SRV047 (0) | 2023.09.01 |
| 서버 보안 취약점 평가_SRV045 (0) | 2023.08.31 |
| 서버 보안 취약점 평가_SRV044 (0) | 2023.08.30 |
| 서버 보안 취약점 평가_SRV043 (0) | 2023.08.30 |