728x90
반응형
IIS 가상 디렉토리 삭제
(평가항목)
IIS 가상 디렉토리 삭제
(취약점 ID)
SRV-056
(평가목적)
IIS 4.0, 5.0 설치 시 기본적으로 /issadmpwd라는 가상 디렉토리가 생성되며, 해당 디렉토리에는 웹 서버를 통하여 비밀번호를 변경시켜 주는 기능을 하는 .HTR 파일에 취약점이 존재하므로 이에 대한 해당 파일의 이용 여부 등을 점검
◦ 평가 예시
IISADMIN 경로를 사용하지 않을 경우 관련된 모든 파일 및 디렉토리를 삭제하는 등
(판단기준)
IIS Admin, IIS Adminpwd 가상디렉터리가 존재할 경우“취약”으로 판단
(판단방법)
IIS 설정 파일인 metabase.xml , applicationHost.config 에서 IISadmin, IISadminpwd 경로 존재 여부 확인
(직접 확인)
IIS관리 메뉴(inetmgr)에서 /issadmpwd, /issadmin 이라는 가상 디렉토리가 존재하는지 확인
728x90
반응형
'Windows' 카테고리의 다른 글
| IIS 미사용 스크립트 매핑 제거 (0) | 2021.01.01 |
|---|---|
| IIS 데이터 파일 ACL 적용 (1) | 2021.01.01 |
| IIS DB 연결 취약점 점검 (2) | 2020.12.31 |
| IIS 파일 업로드 및 다운로드 제한 (1) | 2020.12.31 |
| IIS 링크 사용 금지 (1) | 2020.12.31 |
댓글