윈도우 서버에 was가 설치되어 있고 그 was에 대해 취약점 진단을 수행해야 하는데요..
담당자가 따로있지만 급히 부재가 되어 제가 좀 대신하게 되었습니다..
어찌됬뜬 전달받은 접속정보로 들어가보니 2019 버전의 서버인데 IIS는 설치가 안되어 있고
서버관리자 프로그램이 실행되어 있어요.
이게 WAS를 의미하는건가요?
서버관리자 - 모든 서버 - 서버 이름을 보니 DEV-WAS1 이라는 서버명으로 등록되어 있는게 있어요
보통 웹 취약점 진단 말고 스크립트 형식으로 설정 점검하는 경우 IIS, nginx, apache 등을
점검해왔는데 IIS도 안켜져 있고 단순히 서버 관리자라는 프로그램만 있어서
이걸 어떻게 진단을 해야 할지 모르겠습니다.. (ex. 디렉토리 리스팅 설정을 어디서 봐야하는지 등.._)
프로세스 보면 was로 보이는 것이 없고..
무엇보다 DEV-WEB1 이라는 웹 서버도 따로 존재하는거보면 이게 WAS 서버는 맞는거 같은데..
뭘 WAS로 봐야할까요..?
4개의 답변이 있습니다.
WAS 에 대해서만 보안 취약점 점검을 해야 하나요?
보통은 시스템 자체에 대해서 실시를 하는데, WAS 에 대해서만 한다고 하면
다른 분들이 말씀하신 WAS 솔루션 (웹로직, 톰캣, 제우스 등)에 대해서
각 솔루션 마다 점검을 요하는 항목을 찾는 방법을 먼저 찾으셔야 할꺼에요.
WAS 는 IIS 처럼 웹서비스가 아니면 WEB 과 DB와의 중간에서 데이터 처리 등을
해 주는 서버라고 보시면 됩니다.
netstat -anp
맞나? 저런식으로 80, 443, 8080, 8443
같은 서비스 포트가 리슨상태인지 확인하세요.
포트도 안열리고
iis도 없고 다른 웹,와스도 없다면
이렇게 하세요
"웹, 와스 서비스 구동하지 않음. 해당사항 없음. 가추후 담당자가 재점검 필요"
붙임. 포트 개방현황
Genghis Khan | 일 년 이상 전
빨간신발님 위견에 동의 합니다
Was: tomcat,jeus,weblogic
관련 포트나 서비스를 확인해보세요
iis, apache, nginx는 웹 서버에 해당하겠고...
WAS는 Web Application Server로 Apache Tomcat, JSP, JBoss 등등의 웹에서 작동하게 만들어둔 소프트웨어들을 말하고요.
취약점 점검을 위해서 사람이 하나하나 수동으로 하기에는 어려움이 있을 것 같고...
취약점 점검 툴을 돌려 보면 될 것 같고요.
윈도우용 취약점 점검 툴로는 MBSA ( Microsoft Baseline Security Analyzer )가 있고요.
Windows 용 WAS 소프트웨어는
tomcat, oracle weblogic, ibm websphere, tmaxsoft zeus 등 다양하게 있습니다.
우선 윈도우 프로그램 리스트를 보세요.