IIS 웹서비스 정보 숨김

IIS 웹서비스 정보 숨김

 

(평가항목)

IIS 웹서비스 정보 숨김

---

(취약점 ID)

SRV-153

---

(평가목적)

에러 페이지, 웹 서버 종류, OS 정보, 계정명 등 웹 서버와 관련된 정보가 공격자에게 노출되는 경우 정보 수집에 도움이 되므로 노출 정보에 대한 위협을 점검

 

---

(판단기준)

웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우“취약”으로 판단

 

---

(판단방법)

[Windows 2000, 2003]

인터넷 정보 서비스(IIS) 관리> 속성> [사용자 지정 오류] 탭에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지 지정 확인

 

[Windows 2008]

인터넷 정보 서비스(IIS) 관리자> 해당 웹 사이트> [오류 페이지]에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지 지정 확인