1. 데몬 관리
웹 서버 데몬이 root계정으로 운영될 경우, 웹 애플리케이션 취약점이나 buffer overflow 등을 이용하는 공격자에게 root 권한을 유출할 수 있음
[판단 기준]
양호 - webtob 데몬이 root 계정으로 운영되지 않도록 전용 계정으로 구동한 경우
취약 - webtob 데몬이 root 계정으로 운영되지 않도록 전용 계정으로 구동하지 않은 경우
[확인 방법]
#ps -ef | grep webtob 에서 root 이외의 계정으로 구동되는지 확인
(결과예시)
adm01 31012 1 0 Mar 28 ? 00:12:28 wsm -I 0x2 -l webtob
root 31012 1 0 Mar 28 ? 00:14:11 htl -I 0x2 -l webtob
adm01 31012 1 0 Mar 28 ? 00:14:48 hth -I 0x2 -l webtob
root 로 보인다고 해서 무조건 취약이 아니다.
아래 사항을 파악해야 한다.
1) root 계정으로 운영 시
Well-known 포트는 root 로만 구동이 가능.
Root 권한의 80번 포트를 사용하여 구동되어진 경우 1024번 포트 이상의 전용 계정으로 구동하도록 권장
서비스 영향도 존재 시, 취약 - 위험수용(장기)
2) WebtoB 전용 계정으로 운영 시
WebtoB 전용 계정으로 운영 시에도 htl 프로세스의 경우 root 권한을 부여해야 실행가능함(sticky-bits 부여 등)
따라서 /bin 폴더에 있는 htl 프로세스의 권한 부여 현황 확인(ls -al 등)이 추가적으로 필요
전용계정으로 운영 중이나, htl 실행을 위해 sticky-bits 부여한 경우 양호처리
2. 관리서버 디렉터리 권한 설정
일반 사용자가 관리 서버 디렉터리에 접근할 경우 홈페이지 변조, 설정 변경 등으로 인한 장애가 발생할 수 있으므로 관리 서버 디렉터리에 대한 일반 사용자의 접근 권한을 제한해야 함
[판단 기준]
양호 - 관리서버 디렉터리에 일반 사용자가 접근할 수 없도록 권한이 750인 경우
취약 - 관리서버 디렉터리에 일반 사용자가 접근할 수 없도록 권한이 750이 아닌 경우
[확인 방법]
1. Unix
1) 관리서버 디렉터리 위치 확인
#vi [WebtoB_HOME]/config/http.m
*NODE
WEBTOBDIR= "/home/user/webtob",
...
2) 관리서버 디렉터리(ServerRoot) 권한 확인
(결과예시)
[ServerRoot] /adm0101/jeus/webtob
drwxrwxr-x 16 adm01 adm01 4096 Mar 10 2021 . >> 취약
2. Windows
Administrator 또는 전용 웹 서버 계정 소유이고
전용 웹 서버 계정 그룹(Administrator)(모든 권한)
Users 그룹(쓰기 권한 제거), Everyone 그룹(그룹 제거) 확인
[명령어]
lcalcls %WEBTOBDIR%
3. 헤더 정보 노출 방지
공격자가 대상 시스템의 정보를 획득하기 위해 고의적으로 웹 서버 헤더 정보를 유출 유도할 수 있음
[판단 기준]
양호 - 헤더 정보 노출을 제한한 경우
취약 - 헤더 정보 노출을 제한하지 않은 경우
[확인 방법]
[WEBTOB_HOME]/config/http.m 파일에서 'ServerTokens'의 값이 'OFF' 인지 확인
##여기서 주의할 점##
최신 버전의 WebtoB 는 환경 설정 파일 내에 ServerTokens=OFF 설정이 없지만 default로 OFF 되어있는 경우가 있다.
wasadm(어드민 접속 명령어)를 통해서 cfg -n 으로 확인해보면 Off 로 적용되어 있음을 확인할 수 있다.
'Study' 카테고리의 다른 글
| 커버로스(Kerberos) (0) | 2023.08.29 |
|---|---|
| Windows Powershell(2) (0) | 2022.08.05 |
| Windows Powershell (0) | 2022.08.04 |
| Puzzing 기본 (0) | 2021.04.07 |