728x90 반응형 FTP3 FTP 디렉토리 접근권한 설정 FTP 디렉토리 접근권한 설정 (평가항목) FTP 디렉토리 접근권한 설정 (취약점 ID) SRV-097 (평가목적) FTP 서비스는 인터넷에서 파일을 전송하기 위한 프로토콜을 기반으로 하는 서비스로 계정과 비밀번호가 암호화하지 않고 평문 전송을 기반으로 하며, FTP 홈 디렉토리에 Everyone 권한이 적절하게 부여되 었는지 여부를 점검 (판단기준) Everyone 권한이 있는 경우“취약”으로 판단 (판단방법) (명령어 결과 확인) $1 = reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSFTPSVC\Parameters" /v "Virtual Roots" cacls $1 cacls c:\inetpub\ftproot (직접 확인) F.. 2021. 1. 2. FTP 접근 제어 설정 FTP 접근 제어 설정 (평가항목) FTP 접근 제어 설정 (취약점 ID) SRV-021 (평가목적) FTP는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화 하지 않고 평문 전송을 하며, 적절한 접근통제 정책 미적용시 비인가자에게 시스템 파일이 노출될 수 있으므로 FTP 접근 제어 설정의 적절성 여부를 점검 (판단기준) 특정 IP 주소에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우“취약”으로 판단 (판단방법) (IISconfig 파일의 설정으로 확인) metabase.xml, applicationhost.config 파일을 참조하여 ipsecurity 항목 적용 여부 확인 (직접 확인) Windows 2003 이하 시작 > 실행 > INETMGR > 디렉터리 보안 탭을 확인.. 2020. 12. 31. Anonymous FTP 비활성화 Anonymous FTP 비활성화 (평가항목) Anonymous FTP 비활성화 (취약점 ID) SRV-013 (평가목적) FTP 서비스는 인터넷에서 파일을 전송하기 위한 프로토콜을 기반으로 하는 서비스로 계정과 비밀번호가 암호화하지 않고 평문 전송을 기반으로 하며, 모든 사용자가 FTP 서비스를 이용할 수 있는 익명 (Anonymous) FTP 기능이 활성화된 경우 악의적인 사용자도 손쉽게 접근 가능하므로 이에 대한 보안설정의 적절성 여부를 점검 (판단기준) 설정파일 Anonymous 관련 설정 미비, Anonymous ftp 접속이 가능할 경우“취약”으로 판단 (판단방법) FTP 설정 파일 확인 (IIS config 파일) 접근이 가능한 경우 실제 ftp 접속 시도 (ftp –A 0.0.0.0) II.. 2020. 12. 30. 이전 1 다음 728x90 반응형