IIS DB 연결 취약점 점검

IIS DB 연결 취약점 점검

 

(평가항목)

IIS DB 연결 취약점 점검

---

(취약점 ID)

SRV-055

---

(평가목적)

Global.asa 파일에는 데이터베이스 관련 정보(IP주소,DB명,비밀번호), 내부 IP주소, 웹어플리케이션 환경설정 정보 및 기타 정보 등 중요 정보가 포함 되어 있으므로 해당 파일에 대한 접근통제의 적절성 여부 등을 점검

 

◦ 참고

.asa 파일을 매핑하여 Global.asa 파일이 노출되지 않도록 조치 필요

 

---

(판단기준)

DB 연결 파일 맵핑이 없는 경우“취약”으로 판단

 

---

(판단방법)

IIS 설정 파일인 metabase.xml , applicationHost.config 에서 .asa 매핑 관련 설정 값 확인

 

(직접 확인)

IIS관리 메뉴(inetmgr) 에서 .asa 매핑이 존재하는지 확인

* IIS 6.0 이하 다음 구문 존재 여부 확인 ScriptMaps=".asa,C:\WINDOWS\system32\inetsrv\asp.dll,5,GET ,HEAD,POST,TRACE 

* IIS 7.0 이상 다음 구문 존재 여부 확인 (요청 필터링 부분)