안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Windows진단항목 "웹 프로세스 권한 제한"에 대해서 설명드리도록 하겠습니다.
웹 서비스에 발생된 취약점을 이용하여 서버에 대한 공격 시도 시 권한이 낮은 경우 추가적이 공격이 어려울 수 있기에 해당 권한을 최소한으로 제한하는 항목을 이야기합니다. 먼저 가이드를 확인해 보도록 하겠습니다.
웹 서비스에 발견된 취약점을 이용하여 추가적으로 서버에 대한 공격이 발생할 수 있습니다. 이렇게 웹 취약점을 통해 서버에 대한 공격을 하는 경우 권한이 많지 않은 경우 추가적으로 권한을 상승시키기 위한 악의적인 행동이 필요합니다.
하지만 웹 서비스를 운영하는 계정의 권한이 높은 경우에는 권한을 상승시킬 필요가 없기에 바로 내부 서버에 대한 .....
![[W-15/상] 2. 서비스 관리 2.9 웹 프로세스 권한 제한](https://k.kakaocdn.net/dn/BhurN/btrOQDVvQC1/QbRjo648lcBhpudAGF4hsk/img.png)
![[BO/상] 1.버퍼 오버플로우](https://k.kakaocdn.net/dn/binZyo/btrOSbq6yf0/059wj2tSLlsIV2Q7dmS1ck/img.png)
![[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?"](https://k.kakaocdn.net/dn/bXi6C5/btrORXOWMNx/0CgojuBRWftWjZmAX7Pyi0/img.png)
![[ISMS-P] 1.4.2 관리체계 점검 : 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?"](https://k.kakaocdn.net/dn/cfE7D4/btrOTukx3EO/vwsUQmX2v57dItQsrTBNmK/img.png)
![[ISMS-P] 2.1.2 조직의 유지관리 : "정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?"](https://k.kakaocdn.net/dn/cqvUWn/btrOYwP0ruU/DJlobWRtnbRVM9PnNcKGk0/img.png)
![[W-18/상] 2. 서비스 관리 2.12 IIS DB 연결 취약점 점검](https://k.kakaocdn.net/dn/5urad/btrO2VB3ZTH/dzoxkPSK9lLJa9HO1OD9i1/img.png)
![[W-62/중] 2. 서비스 관리 2.30 SNMP Access control 설정](https://k.kakaocdn.net/dn/bOUTNW/btrPUnlDwDO/drO3wM08Wwcms8ZnyRsxmk/img.png)