전체 글198 U-40) unix 서버취약점 > 서비스 관리 > 웹서비스 파일 업로드 및 다운로드 제한 U-40 (상) 3. 서비스관리 > 웹서비스 파일 업로드 및 다운로드 제한 취약점 개요 점검내용 파일 업로드 및 다운로드의 사이즈 제한 여부 점검 점검목적 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가 피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방 지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함 보안위협 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취 하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음 참고 ※ 불필요한 업로드와 다운로드: 내부 정책에 맞지 않는 업로드와 다운로드를 말함. 예를 들 어 5Mb 이상의 대용량 파일이나 확장자를 화이트 리스트 방식으로 제한.. 2023. 2. 17. U-39) unix 서버취약점 > 서비스 관리 > 웹서비스 링크 사용금지 U-39 (상) 3. 서비스관리 > 웹서비스 링크 사용금지 취약점 개요 점검내용 심볼릭 링크, aliases 사용 제한 여부 점검 점검목적 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목 적으로 함 보안위협 시스템 자체의 root 디렉토리(/)에 링크를 걸게 되면 웹 서버 구동 사용자 권한(nobody)으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 "/etc/passwd" 파일과 같은 민감한 파일을 누구나 열람할 수 있게 됨 참고 ※ 심볼릭 링크(Symbolic link, 소프트 링크): 윈도우 운영체제의 바로가기 아이콘과 비슷함. 링크 생성 시 파일 내용은 존재하지 않으나 사용자가 파일을 요청하면 링크가 가리키고 있는 원본 데이터에서 데이터를 가져와서 .. 2023. 2. 17. U-38) unix 서버취약점 > 서비스 관리 > 웹서비스 불필요한 파일 제거 U-38 (상) 3. 서비스관리 > 웹서비스 불필요한 파일 제거 취약점 개요 점검내용 Apache 설치 시 기본으로 생성되는 불필요한 파일의 삭제 여부 점검 점검목적 Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함. 보안위협 Apache 설치 시 htdocs 디렉토리 내에 매뉴얼 파일은 시스템 관련정보를 노출하거나 해킹에 악용될 수 있음. 참고 ※ 불필요한 파일: 샘플 파일, 매뉴얼 파일, 임시 파일, 테스트 파일, 백업 파일 등 점검대상 및 판단기준 대상 SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 제거되어 있는 경우 취약 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 제거되지 않은 경.. 2023. 2. 16. U-37) unix 서버취약점 > 서비스 관리 > 웹서비스 상위 디렉토리 접근 금지 U-37 (상) 3. 서비스관리 > 웹서비스 상위 디렉토리 접근 금지 취약점 개요 점검내용 ".." 와 같은 문자 사용 등으로 상위 경로로 이동이 가능한지 여부 점검 점검목적 상위 경로 이동 명령으로 비인가자의 특정 디렉토리에 대한 접근 및 열람을 제한하여 중요 파일 및 데이터 보호를 목적으로 함 보안위협 상위 경로로 이동하는 것이 가능할 경우 접근하고자 하는 디렉토리의 하위 경로에 접속하여 상위경로로 이동함으로써 악의적인 목적을 가진 사용자의 접근이 가능함 참고 - 점검대상 및 판단기준 대상 SOLARIS, LINUX, AIX, HP-UX 등 판단기준 양호 : 상위 디렉토리에 이동제한을 설정한 경우 취약 : 상위 디렉토리에 이동제한을 설정하지 않은 경우 조치방법 Step 1) 사용자 인증.. 2023. 2. 16. 이전 1 ··· 24 25 26 27 28 29 30 ··· 50 다음
