저희 내부 윈도우 웹서버에 .asmx가 노출되는 취약점이 발견됐다고 합니다.
이거에 대한 조치사항은 어떤게 있을까요?
이 취약점에 대한 개념도 정확히 모르는데 위험성 또한 알려주시면 감사하겠습니다~
웹서버 .asmx 노출 취약점 조치사항 질물드립니다.
저희 내부 윈도우 웹서버에 .asmx가 노출되는 취약점이 발견됐다고 합니다.
이거에 대한 조치사항은 어떤게 있을까요?
이 취약점에 대한 개념도 정확히 모르는데 위험성 또한 알려주시면 감사하겠습니다~
2개의 답변이 있습니다.
aspnet_isapi.dll라는 ISAPI 처리기는 일반적으로 닷넷과 관련된 요청만 받아서 처리합니다.
(aspx, asmx 등의 요청들)
그렇기 때문에 이미지나 자바스크립트와 같은 파일은 ISAPI 처리가 처리하지 않도록 설정되어 있기 때문에
이 부분을 수동으로 추가해주어야 합니다.
IIS 등록정보에서 구성에 확장자와 ISAPI 처리기와 매핑하는 처리가 가능합니다.
aspx = page in WebForms. Contains controls and events
asmx = web services. Modality of sharing information from/to website
ashx = generic handler. Can be used in various ways* as generate pages, sharing information, display pictures...
각 화일의 차이점을 구글링해서 찾은 것이고...
https://support.microsoft.com/ko-kr/help/308359/how-to-write-a-simple-web-service-by-using-visual-c-net
ms 문서내요인데요..
7번 항목을 보시면
웹 서비스를 테스트 하려면 MathService.asmx 웹 서비스 페이지로 이동 합니다. 페이지를 호스팅하는 로컬 컴퓨터를 설정한 경우 URL은 http://localhost/MathService/MathService.asmx. 런타임에 ASP.NET 웹 서비스를 설명 하는 웹 서비스 도움말 페이지를 반환 합니다. 이 페이지를 사용 하면 다른 웹 서비스 메서드도 테스트할 수 있습니다.
위의 내용을 보시다시피 asmx에 접근이 되어야 해당 화일이 iis에서 실행되고 결과가 사용자에게 서비스되는 것인데...
해당 취약점을 지적한곳에 좀 더 자세한 설명을 받으셔야 할 듯 합니다.
혹시 asmx파일이 다운로드 되는 것은 아니겠죠?