인프라 진단115 SRV-044 (Tomcat) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 SRV-044 (Tomcat) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 【 상세설명 】 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 【 판단기준 】 - 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우 - 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인 ※ Connector 설정 내 “maxSwallowSize”, “maxPostSize” 설정 확인("unlimited" 설정 시 "취약") 2. (웹 콘솔을 사용하는 경우) .. 2024. 1. 2. SRV-044 (WebtoB) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 SRV-044 (WebtoB) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 【 상세설명 】 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 【 판단기준 】 - 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우 - 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우 【 판단방법 】 ——————————————————————————————————— 1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인 ※ 각 절에서 LimitRequestBody 설정 확인(설정이 존재하지 않거나 "0"(unlimited) 설정.. 2024. 1. 2. SRV-044 (Apache) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 SRV-044 (Apache) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 【 상세설명 】 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 【 판단기준 】 - 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우 - 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인 ※ 각 절에서 LimitRequestBody 설정 확인(설정이 존재하지 않거나 "0"(unlimited) 설정 시 "취약") ■ Linux, AIX, HP-UX, SOLARI.. 2024. 1. 2. SRV-043 (Jeus) 웹 서비스 경로 내 불필요한 파일 존재 보호되어 있는 글 입니다. 2024. 1. 2. SRV-043 (Tomcat) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 (Tomcat) 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL $CATALINA_HOME/webapps/docs # ls -alL $CATALINA_HOME.. 2024. 1. 2. SRV-043 (WebtoB) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 (WebtoB) 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL $WEBTOBDIR/cgi-bin # ls -alL $WEBTOBDIR/docs # ls -a.. 2024. 1. 2. SRV-043 (Apache) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL /etc/apache2/htdocs/manual # ls -alL /etc/apache2/manual # ls.. 2024. 1. 2. SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 【 상세설명 】 상위 디렉터리로 이동이 가능하면 하위경로에 접속한 후 상위로 이동하여 중요 파일들에 대한 접근이 가능한 위협이 존재하므로 ".." 와 같은 상위 경로를 사용하지 못하도록 적절하게 설정하였는지 점검 【 판단기준 】 - 양호 : Directory Traversal 취약점이 존재하지 않는 경우 - 취약 : Directory Traversal 취약점이 존재하는 웹 서버 버전을 사용하는 경우 【 판단방법 】 1. 웹 서비스 버전 확인 ※ “CVE-2002-0661”, “CVE-2004-0173” 등의 취약점이 존재하지 않는 버전 : Apache 2.048 보다 높은 버전 ※ "CVE-2002-0661" 은 2.0.40(2.. 2024. 1. 2. SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 【 상세설명 】 디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검 【 판단기준 】 - 양호 : 디렉터리 리스팅이 허용되지 않은 경우 - 취약 : 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인 ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Index”, “+Index”, “ALL”, “+ALL” 설정 존재 시 "취약") ■ Linu.. 2024. 1. 2. 이전 1 ··· 7 8 9 10 11 12 13 다음