반응형
| U-40 (상) | 3. 서비스관리 > 웹서비스 파일 업로드 및 다운로드 제한 |
| 취약점 개요 | |
| 점검내용 | 파일 업로드 및 다운로드의 사이즈 제한 여부 점검 |
| 점검목적 | 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가 피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방 지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함 |
| 보안위협 | 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취 하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음 |
| 참고 | ※ 불필요한 업로드와 다운로드: 내부 정책에 맞지 않는 업로드와 다운로드를 말함. 예를 들 어 5Mb 이상의 대용량 파일이나 확장자를 화이트 리스트 방식으로 제한함을 말함 |
| 점검대상 및 판단기준 | |
| 대상 | SOLARIS, LINUX, AIX, HP-UX 등 |
| 판단기준 | 양호 : 파일 업로드 및 다운로드를 제한한 경우 |
| 취약 : 파일 업로드 및 다운로드를 제한하지 않은 경우 | |
| 조치방법 | 1. 파일 업로드 및 다운로드 용량 제한 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 LimitRequestBody 지시자에 파일 사이즈 용량 제한 설정) |
| 점검 및 조치 사례 | |
 • SOLARIS, LINUX, AIX, HP-UX Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기 #vi /[Apache_home]/conf/httpd.conf Step 2) 설정된 모든 디렉토리의 LimitRequestBody 지시자에서 파일 사이즈 용량 제한 설정 예) <Directory /> LimitRequestBody 5000000 (※ "/" 는 모든 파일 사이즈를 5M로 제한하는 설정 단위:byte) </Directory> |
|
| 조치 시 영향 | 일반적인 경우 영향 없음 |
반응형
'정보보안' 카테고리의 다른 글
| U-60) unix 서버취약점 > 서비스 관리 > ssh 원격접속 허용 (0) | 2023.02.20 |
|---|---|
| U-41) unix 서버취약점 > 서비스 관리 > 웹 서비스 영역의 분리 (0) | 2023.02.17 |
| U-39) unix 서버취약점 > 서비스 관리 > 웹서비스 링크 사용금지 (0) | 2023.02.17 |
| U-38) unix 서버취약점 > 서비스 관리 > 웹서비스 불필요한 파일 제거 (0) | 2023.02.16 |
| U-37) unix 서버취약점 > 서비스 관리 > 웹서비스 상위 디렉토리 접근 금지 (0) | 2023.02.16 |
댓글