SRV-046 (Apache) 웹 서비스 경로 설정 미흡

SRV-046 (Apache) 웹 서비스 경로 설정 미흡

【 상세설명 】
웹 서비스 경로를 기타 업무와 영역이 분리되지 않은 경로로 설정하거나, 불필요한 경로가 존재할 경우 외부에서 시스템의 중요 파일이나 기능에 비인가 접근이 발생할 위협이 존재하므로 웹 서비스 경로 설정의 적절성을 점검

【 판단기준 】
- 양호 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하지 않을 경우
- 취약 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하는 경우

【 판단방법 】
1. 웹 서비스 경로 중 루트('/') 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로 설정 확인
    ※ 각 절에서 DocumentRoot 설정 확인(루트('/') 또는 타 업무와 분리 되지 않은 경로 설정 시 "취약")

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat /etc/apache2/httpd.conf | grep DocumentRoot
      # cat /etc/apache2/apache2.conf | grep DocumentRoot
      # cat /etc/httpd/httpd.conf | grep DocumentRoot
      # cat /etc/httpd/conf/httpd.conf | grep DocumentRoot
      # cat /<HTTPD_ROOT>/apache2.conf | grep DocumentRoot
      # cat /<HTTPD_ROOT>/httpd.conf | grep DocumentRoot
      # cat /<HTTPD_ROOT>/conf/httpd.conf | grep DocumentRoot
          DocumentRoot "/var/www/html"
          …

       ※ Apache Web Root 경로 확인(HTTPD_ROOT)
          # apachectl -V | grep "HTTPD_ROOT"
          # apache2 -V | grep "HTTPD_ROOT"
          # httpd -V | grep "HTTPD_ROOT"
              -D HTTPD_ROOT="/etc/apache2"

【 조치방법 】
1. 웹 서비스 경로 중 루트('/') 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로 삭제 또는 변경
    ※ 각 절 DocumentRoot 설정 변경
2. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)