IIS 상위 디렉토리 접근 금지

IIS 상위 디렉토리 접근 금지

 

(평가항목)

IIS 상위 디렉토리 접근 금지

---

(취약점 ID)

SRV-050

---

(평가목적)

상위 디렉토리로 이동이 가능하면 하위경로에 접속한 후 상위로 이동하여 중요 파일들에 대한 접근이 가능한 위협이 존재하므로 Unicode 버그 및 서비스 거부 공격에 취약함으로 ".." 와 같은 상위 경로를 사용하지 못하도록 보안설정의 적절성 여부를 점검

 

---

(판단기준)

"부모 경로 사용" 또는 "상위 경로 사용"으로 설정 되어 있을 경우“취약”으로 판단

 

---

(판단방법)

- IIS 설정 파일인 metabase.xml , applicationHost.config 에서 Enable Parent Paths 관련 Flag 확인

 

* IIS 6.0 이하 : egrep "AspEnableParentPaths“ "%SystemRoot%\System32\Inetsrv\metabase.xml“

* IIS 7.0 이상 : egrep "enableParentPaths" "%SystemRoot%\System32\Inetsrv\config\applicationHost.config"

 

(직접 확인)

Windows 2003 : 시작>실행>INETMGR>웹 사이트>속성>홈 디렉터리>구성에서 "부모 경로 사용" 또는 "상위 경로 사용" 설정 확인

 

Windows 2008 : 시작>실행>INETMGR>웹사이트>ASP에서 "부모 경로 사용" 설정 확인