SRV-046 (WebtoB) 웹 서비스 경로 설정 미흡

SRV-046 (WebtoB) 웹 서비스 경로 설정 미흡

【 상세설명 】
웹 서비스 경로를 기타 업무와 영역이 분리되지 않은 경로로 설정하거나, 불필요한 경로가 존재할 경우 외부에서 시스템의 중요 파일이나 기능에 비인가 접근이 발생할 위협이 존재하므로 웹 서비스 경로 설정의 적절성을 점검

【 판단기준 】
- 양호 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하지 않을 경우
- 취약 : 웹 서비스 경로 중 "/" 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로가 존재하는 경우

【 판단방법 】
1. 웹 서비스 경로 중 루트('/') 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로 설정 확인
    ※ 각 절에서 DocumentRoot 설정 확인(루트('/') 또는 타 업무와 분리 되지 않은 경로 설정 시 "취약")

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat $WEBTOBDIR/config/http.m
      # cat /data/wbqas/webtob/config/http.m

          *NODE
          <hostname> WEBTOBDIR="/home/tmax/webtob",
                      ...
                      DOCROOT="/home/tmax/webtob/docs",
                      ...
          *VHOST
          <VHOST_name> DOCROOT="/home/tmax/webtob/docs",
                          ...
          ...

  ■ Windows
      cmd > notepad %WEBTOBDIR%\config\http.m

          *NODE
          <hostname> WEBTOBDIR="C:\TmaxSoft\WebtoB5.0",
                      ...
                      DOCROOT="C:\TmaxSoft\WebtoB5.0\docs",
                      ...
          *VHOST
          <VHOST_name> DOCROOT="C:\TmaxSoft\WebtoB5.0\docs",
                          ...
          ...

【 조치방법 】
1. 웹 서비스 경로 중 루트('/') 등 기타 업무와 영역이 분리되지 않은 경로 또는 불필요한 경로 삭제 또는 변경
    ※ 각 절 DocumentRoot 설정 변경
2. WebtoB 설정 파일 재컴파일
3. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)