[윈도우/서비스 관리] IIS DB 연결 취약점 점검 (W-18)

IIS DB 연결 취약점 점검 취약점 개요 위험도 - 상 점검 목적 - DB 커넥션 파일(global.asa)에 대한 접근을 제한하여 SQL 서버의 사용자명과 패스워드와 같은 중요 정보의 노출을 차단하기 위함 보안 위협 - global.asa 파일에는 데이터베이스 관련 정보(IP 주소, DB명, 패스워드), 내부 IP 주소, 웹 어플리케이션 환경설정 정보 및 기타 정보 등 보안상 민감한 내용이 포함되어 있으므로 해당 파일이 악의적인 사용자에게 노출될 경우 침해사고로 이어질 수 있음 점검 및 조치 방법 판단 기준 - 양호 : .asa 매핑 시 특정 동작만 가능하도록 제한하여 설정한 경우 또는 매핑이 없을 경우 - 취약 : .asa 매핑 시 모든 동작이 가능하도록 설정한 경우 조치 방법 -.....