SRV-044 (WebtoB) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정

SRV-044 (WebtoB) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정

【 상세설명 】
웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 

【 판단기준 】
- 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우
- 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우

【 판단방법 】
———————————————————————————————————
1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인
    ※ 각 절에서 LimitRequestBody 설정 확인(설정이 존재하지 않거나 "0"(unlimited) 설정 시 "취약")

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat $WEBTOBDIR/config/http.m
      # cat /data/wbqas/webtob/config/http.m

          *NODE
          <hostname> WEBTOBDIR="/home/tmax/webtob",
                      ...
                      LimitRequestBody="0",
                      ...
          *VHOST
          <VHOST_name> DOCROOT="/home/tmax/webtob/docs",
                          ...
                          LimitRequestBody="0",
                          ...
          ...

  ■ Windows
      cmd > notepad %WEBTOBDIR%\config\http.m

          *NODE
          <hostname> WEBTOBDIR="C:\TmaxSoft\WebtoB5.0",
                      ...
                      LimitRequestBody="0",
                      ...
          *VHOST
          <VHOST_name> DOCROOT="C:\TmaxSoft\WebtoB5.0\docs",
                          ...
                          LimitRequestBody="0",
                          ...
          ...

※ LimitRequestBody 지시자는 byte 단위로 설정하며 설정 범위는 "0(unlimited) ~ LONG_MAX"
※ HTTP Request Body가 2147483647(2GB) 이상인 경우는 JEUS7 이후 버전부터 처리 가능

【 조치방법 】
1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정
    ※ 각 절에서 LimitRequestBody 설정
2. WebtoB 설정 파일 재컴파일
3. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)