분류 전체보기121 SRV-043 (WebtoB) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 (WebtoB) 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL $WEBTOBDIR/cgi-bin # ls -alL $WEBTOBDIR/docs # ls -a.. 2024. 1. 2. SRV-043 (Apache) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL /etc/apache2/htdocs/manual # ls -alL /etc/apache2/manual # ls.. 2024. 1. 2. SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 SRV-042 (Apache) 웹 서비스 상위 디렉터리 접근 제한 설정 미흡 【 상세설명 】 상위 디렉터리로 이동이 가능하면 하위경로에 접속한 후 상위로 이동하여 중요 파일들에 대한 접근이 가능한 위협이 존재하므로 ".." 와 같은 상위 경로를 사용하지 못하도록 적절하게 설정하였는지 점검 【 판단기준 】 - 양호 : Directory Traversal 취약점이 존재하지 않는 경우 - 취약 : Directory Traversal 취약점이 존재하는 웹 서버 버전을 사용하는 경우 【 판단방법 】 1. 웹 서비스 버전 확인 ※ “CVE-2002-0661”, “CVE-2004-0173” 등의 취약점이 존재하지 않는 버전 : Apache 2.048 보다 높은 버전 ※ "CVE-2002-0661" 은 2.0.40(2.. 2024. 1. 2. SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 【 상세설명 】 디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검 【 판단기준 】 - 양호 : 디렉터리 리스팅이 허용되지 않은 경우 - 취약 : 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인 ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Index”, “+Index”, “ALL”, “+ALL” 설정 존재 시 "취약") ■ Linu.. 2024. 1. 2. SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡 【 상세설명 】 디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검 【 판단기준 】 - 양호 : 디렉터리 리스팅이 허용되지 않은 경우 - 취약 : 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인 ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Indexes”, “+Indexes”, “ALL”, “+ALL” 설정 존재 시 "취약") ■ .. 2024. 1. 2. SRV-037 취약한 FTP 서비스 실행 SRV-037 취약한 FTP 서비스 실행 【 상세설명 】 FTP 는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하여 네트워크 스니핑의 위협이 존재하므로, 해당 서비스가 추가 보안 수단 없이 취약하게 실행되고 있는지 점검 【 판단기준 】 - 양호 : FTP 서비스가 비활성화 되어 있는 경우 - 취약 : FTP 서비스가 활성화 되어 있는 경우 (단, 업무상 필요하여 FTPS 를 활용하는 등 통신 암호화를 위한 별도의 보안수단이 적용된 경우는 양호) 【 판단방법 】 1. 업무상 불필요한 FTP 서비스(ftp, proftp, vsftp 등) 중지 ■ Linux, AIX, HP-UX, SOLARIS 9 이하 # ps -ef | egrep "ftp|proftpd|vsftpd" |.. 2024. 1. 1. SRV-035 취약한 서비스 활성화 SRV-035 취약한 서비스 활성화 【 상세설명 】 알려진 취약점이 존재하는 서비스를 실행할 경우, 공격자의 침입 경로로 활용될 수 있기 때문에 취약한 서비스나 취약한 버전의 서비스가 실행되고 있는지 점검(tftp, talk, ntalk, finger, 취약한 r 계열 서비스, echo, discard, daytime, chargen, NIS, NIS+ 서비스 등) 【 판단기준 】 - 양호 : 아래의 항목 중 해당 사항이 없는 경우 - 취약 : 아래의 항목 중 해당하는 조건이 있는 경우 1. tftp, talk, ntalk 서비스가 불필요하게 활성화된 경우 2. finger 서비스 활성화 3. rexec, rlogin, rsh 서비스 활성화 4. DoS 공격에 취약한 echo, discard, dayti.. 2024. 1. 1. SRV-034 불필요한 서비스 활성화 SRV-034 불필요한 서비스 활성화 【 상세설명 】 시스템 운영 중 불필요한 서비스들이 설치되어 실행되고 있는 경우, 시스템의 성능 저하를 야기하거나 잠재적인 보안 취약점이 발생할 수 있으므로 업무와 관계 없이 활성화되어 있는 서비스를 점검(취약한 버전의 automountd , NetBIOS, DMI, WebDAV, RDS 등 일반적으로 불필요한 서비스 점검) 【 판단기준 】 - 양호 : 불필요한 autmountd 서비스가 비활성화된 경우(SOLARIS : 불필요한 autmountd 또는 dmi 서비스가 비활성화된 경우) - 취약 : 취약한 버전의 automountd 서비스가 불필요하게 활성화된 경우(SOLARIS : 취약한 버전의 automountd 서비스 또는 dmi 서비스가 불필요하게 활성화된 경.. 2024. 1. 1. SRV-028 원격 터미널 접속 타임아웃 미설정 SRV-028 원격 터미널 접속 타임아웃 미설정 【 상세설명 】 사용자 부재 시, 비인가자에 의한 시스템 무단 사용을 방지하기 위해 일정 시간 사용하지 않는 세션에 대한 자동 종료 시간 설정 여부를 점검하고, 세션 종료 시간이 설정되어 있을 경우 과도하게 설정 되어 있는지 점검 【 판단기준 】 - 양호 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있을 경우 - 취약 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있지 않을 경우 (아래 내용 중 해당사항이 있는 경우) 1) 내부 규정에 세션 종료 시간이 명시되어 있을 경우 - 세션 타임아웃이 내부 규정에 명시된 세션 종료 시간보다 초과 설정 시 "취약"으로 판단 2) 내부 규정에 세션 종료시간이 명시되어 있지 않을 경우 - 세션 .. 2024. 1. 1. 이전 1 ··· 8 9 10 11 12 13 14 다음