인프라 진단/전자금융기반시설(서버) - Apache10 SRV-148 (Apache) 웹 서비스 정보 노출 SRV-148 (Apache) 웹 서비스 정보 노출 【 상세설명 】 웹 서버 종류 및 버전 등에 대한 정보가 노출될 경우 공격자가 기타 공격에 활용할 가능성이 있으므로 적절한 보안 설정이 되었는지 점검 【 판단기준 】 - 양호 : 웹 서버 응답에 노출되는 정보가 없는 경우 - 취약 : 웹 서버 응답에 노출되는 정보(서비스명 + 버전정보)가 있는 경우 ※ 정보 노출: 서비스명 + 버전 정보가 노출되는 경우 취약 【 판단방법 】 1. 웹 서비스 설정 파일에서 ServerTokens 설정 확인 ※ "ServerTokens" 설정이 존재하지 않거나 "Prod" 가 아닌 값으로 설정 시 "취약" ■ Linux, AIX, HP-UX, SOLARIS # cat /etc/apache2/httpd.conf | grep .. 2024. 1. 4. SRV-118 (Apache) 주기적인 보안패치 및 벤더 권고사항 미적용 보호되어 있는 글 입니다. 2024. 1. 4. SRV-048 (Apache) 불필요한 웹 서비스 실행 SRV-048 (Apache) 불필요한 웹 서비스 실행 【 상세설명 】 웹 서비스는 구동 중일 경우 잠재적인 보안 취약점이 발생할 수 있고 흔히 공격의 목표가 되는 서비스이므로, 업무와 관계 없이 불필요하게 활성화되어 있는지 여부를 점검 【 판단기준 】 - 양호 : 웹 서비스가 실행되고 있지 않은 경우 - 취약 : 웹 서비스가 불필요하게 실행 중인 경우 【 판단방법 】 1. 웹 서비스 프로세스 구동 확인 ■ Linux, AIX, HP-UX, SOLARIS # ps -ef | egrep "httpd|apache|apache2" root 78559 1 0 May27 ? 00:00:01 /usr/sbin/httpd apache 78560 78559 0 May27 ? 00:00:00 /usr/sbin/httpd.. 2024. 1. 2. SRV-047 (Apache) 웹 서비스 경로 내 불필요한 링크 파일 존재 SRV-047 (Apache) 웹 서비스 경로 내 불필요한 링크 파일 존재 【 상세설명 】 웹 서버에 설정된 웹 서비스 루트 경로를 벗어나는 외부 링크 파일이 있다면, 공격자에 의한 비인가 접근 가능성이 존재하므로 불필요한 링크 파일 존재 여부를 점검 【 판단기준 】 - 양호 : 웹 서비스 경로 내에 불필요한 링크가 존재하지 않거나, 링크를 허용하는 설정이 비활성화된 경우 - 취약 : 웹 서비스 경로 내에 불필요한 링크가 존재하고 링크를 허용하는 설정이 활성화된 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 Symbolic Link 허용 설정 확인 ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“FollowSymLinks”, “+FollowSymLinks”, “ALL”, “+ALL” .. 2024. 1. 2. SRV-046 (Apache) 웹 서비스 경로 설정 미흡 SRV-046 (Apache) 웹 서비스 경로 설정 미흡 【 상세설명 】 웹 서비스 경로를 기타 업무와 영역이 분리되지 않은 경로로 설정하거나, 불필요한 경로가 존재할 경우 외부에서 시스템의 중요 파일이나 기능에 비인가 접근이 발생할 위협이 존재하므로 웹 서비스 경로 설정의 적절성을 점검 【 판단기준 】 - 양호 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하지 않을 경우 - 취약 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하는 경우 【 판단방법 】 1. 웹 서비스 경로 중 루트('/') 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로 설정 확인 ※ 각 절에서 DocumentRoot.. 2024. 1. 2. SRV-045 (Apache) 웹 서비스 프로세스 권한 제한 미비 SRV-045 (Apache) 웹 서비스 프로세스 권한 제한 미비 【 상세설명 】 웹 서버에 대한 요청을 처리하는 프로세스의 권한을 제한하지 않을 경우, 취약점 존재 시 공격자가 해당 서버의 높은 권한을 획득 가능한 위협이 존재함. 웹 서버 요청을 처리하는 프로세스 권한이 적절하게 설정되어 있는지 여부를 점검 【 판단기준 】 - 양호 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 적절하게 설정되어 있을 경우 - 취약 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 관리자 권한으로 설정된 경우 【 판단방법 】 1. 웹 서비스의 요청 처리 프로세스의 실행 계정과 그룹이 관리자 계정, 그룹이 아닌 웹 서비스 프로세스 전용 실행 계정, 그룹인지 확인 ※ Default 웹 서비스 프로세스 전용 실행 계정(그.. 2024. 1. 2. SRV-044 (Apache) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 SRV-044 (Apache) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 【 상세설명 】 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 【 판단기준 】 - 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우 - 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인 ※ 각 절에서 LimitRequestBody 설정 확인(설정이 존재하지 않거나 "0"(unlimited) 설정 시 "취약") ■ Linux, AIX, HP-UX, SOLARI.. 2024. 1. 2. SRV-043 (Apache) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL /etc/apache2/htdocs/manual # ls -alL /etc/apache2/manual # ls.. 2024. 1. 2. SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 【 상세설명 】 상위 디렉터리로 이동이 가능하면 하위경로에 접속한 후 상위로 이동하여 중요 파일들에 대한 접근이 가능한 위협이 존재하므로 ".." 와 같은 상위 경로를 사용하지 못하도록 적절하게 설정하였는지 점검 【 판단기준 】 - 양호 : Directory Traversal 취약점이 존재하지 않는 경우 - 취약 : Directory Traversal 취약점이 존재하는 웹 서버 버전을 사용하는 경우 【 판단방법 】 1. 웹 서비스 버전 확인 ※ “CVE-2002-0661”, “CVE-2004-0173” 등의 취약점이 존재하지 않는 버전 : Apache 2.048 보다 높은 버전 ※ "CVE-2002-0661" 은 2.0.40(2.. 2024. 1. 2. 이전 1 2 다음