[JSP] 16. WebDAV 취약점

취약점

WebDAV는 웹서버 관리 프로그램으로 FTP와 유사하다.

윈도우 서버 컴퓨터에서 기본으로 설치되는 원격관리기능인 WebDAV가 계속 사용가능하도록 설정되어 있고,

WebDAV 라이브러리 파일의 속성 및 홈페이지 디렉토리에 쓰기 권한이 모두 허용되어 있는 경우

해커가 WebDAV 도구를 사용, 원격에서 홈페이지 디렉토리에 임의의 파일을 삽입하여 화면을 변조할 수 있다.

 

따라서 윈도우 서버를 운용시에는 이 서비스를 사용안함으로 변경시켜준다!

 

보안조치

서버 환경이 리눅스인 관계로 내용만 기술하고 실습은 PASS

 

■ IIS 를 사용하지 않을 경우

 윈도우의 서비스 설정에서 [World Wide Web Publishing Service] 속성을 사용 안함으로 설정

■ IIS 를 사용하지 않을 경우

 레지스트리 편집기(Regedt32.exe)에서 다음 키를 찾아 값을 수정하거나 추가함                                                                                                                                               

"JSP 보안 개발 가이드" 에서

참조

wiki.wikisecurity.net/guide:jsp_%EA%B0%9C%EB%B0%9C_%EB%B3%B4%EC%95%88_%EA%B0%80%EC%9D%B4%EB%93%9C#%EA%B4%80%EB%A6%AC%EC%9E%90_%ED%8E%98%EC%9D%B4%EC%A7%80_%EC%A0%91%EA%B7%BC