728x90
반응형
Anonymous FTP 비활성화
(평가항목)
Anonymous FTP 비활성화
(취약점 ID)
SRV-013
(평가목적)
FTP 서비스는 인터넷에서 파일을 전송하기 위한 프로토콜을 기반으로 하는 서비스로 계정과 비밀번호가 암호화하지 않고 평문 전송을 기반으로 하며, 모든 사용자가 FTP 서비스를 이용할 수 있는 익명 (Anonymous) FTP 기능이 활성화된 경우 악의적인 사용자도 손쉽게 접근 가능하므로 이에 대한 보안설정의 적절성 여부를 점검
(판단기준)
설정파일 Anonymous 관련 설정 미비, Anonymous ftp 접속이 가능할 경우“취약”으로 판단
(판단방법)
FTP 설정 파일 확인 (IIS config 파일)
접근이 가능한 경우 실제 ftp 접속 시도 (ftp –A 0.0.0.0)
IIS 6.0 이하: AllowAnonymous=True 여부 확인 (metabase.xml)
IIS 7.0 이상: anonymousAuthentication enabled="true" 여부 확인
(applicationHost.config)
728x90
반응형
댓글