IIS7.x 이상에서 SQL Injection 과 Web-Shell 해킹을 간단하게나마 접근을 하지 못하게 하는 방법을 알려드리겠습니다.



1. 관리자 페이지 접속 IP 제한

현재는 관리자 페이지(admin 디렉터리)가 모두에게 개방이 되어 있는 상태로 있다고 가정을 하고 관리자 페이지를 아래 그림과 같이 admin 폴더를 클릭하세요.





그리고 아래 그림과 같이 IIS -> IP 주소 및 도메인 제한(우클릭) -> 기능열기 클릭합니다.





그리고 기능 설정 편집 클릭





일단 관리자 페이지에 모든 사용자가 접근을 할 수 없도록 아래 그림과 같이 거부를 설정합니다.





전부 거부를 하였으니 그다음 허용할 IP를 설정해야 하니.  허용 항목 추가를 클릭합니다.





IP 등록시 하나의 IP를 넣어도 되고 클래스 별로 넣을수도 있도록 되어 있으니 사용할 부분에 선택을 합니다.





등록을 하게 되면 아래 그림과 같이 허용할  IP 클래스가 나옵니다.




이제 테스트를 해야겠죠? 

허용 IP가 아닌 다른 IP 대역대에서 접속 테스트를 해보면 아래 그림과 같이 사용 권한 없음이 나타나야 정상입니다.

이 정도만 해도 특정 관리자들이 로그인하는 부분에서 SQL Injection 에 대해 조그만한 대비가 됩니다.






2. 업로드 디렉터리 실행 권한 제거


만약 해킹으로 어떻게든 로그인 부분에서 뚫렸다면 업로드 디렉터리에 스크립트 실행 권한을 제거 한다면 이 또한 대비가 될것입니다.


먼저 업로드 디렉터리를 선택한 후, 처리기 매팅 도구를 기능 열기로 실행합니다. 아래 그림 참조.





처리기 매핑 화면이 나타나면 아래 그림과 같이 순서대로 [기능 사용 권한 편집] -> [스크립트 체크 해제]-> 확인 을 하시면 됩니다. 그렇게 되면 뒤에 있는 기능들이 상태가 그림과 같이 사용안함 및 회색으로 변합니다.





이 두가지만 설정을 해 놓으셔도 어느정도(?) 대비가 되실겁니다.


추후 또 다른 정보가 있다면 글을 올리도록 하겠습니다.


IIS 7.0 이상의 버젼에서 asp 작업을 하다보면 아래와같이 자세한 오류 메시지가 보이지 않아서 난감할때가 있습니다.




IIS 7.0 이상의 버젼 부터는 보안이 강화되어 "자세한 오류"메시자가 표시가 되지 않았습니다.
이를 표시하기 위해서는 아래와 같이 설정을 변경합니다.

!주의 : 아래와 같이 설정시 해킹의 위험(고의적인 에러 유도로 웹서버 종류 파악을 할 수 있으며 IIS 에러 페이지로        WINDOWS 버젼 예상)이 있으니 장애 오류 확인 할때만 사용하시는게 좋을듯 합니다.

1. IIS(인터넷 정보 서비스) 관리자


2. 사이트 -> IIS -> ASP -> 기능열기 -> 디버깅 속성

- 브라우저에 오류 전송 : True

- 서버 쪽 디버깅 사용 : False

- 클라이언트 쪽 디버깅 사용 : True


3. 사이트 -> IIS -> 오류 페이지 -> 기능 열기 -> 기능 설정 편집

오류 응답 : 자세한 오류



다 적용하신 후 오류 메세지를 확인 해 보면 아래와 같이 나옵니다.















출처 : http://www.google.com/support/calendar/bin/answer.py?answer=89955

 

 

To set up Google Calendar Sync:

    1. Make sure you're using a supported operating system and Outlook version.
    2. Download Google Calendar Sync (version 0.9.3.3) at http://dl.google.com/googlecalendarsync/GoogleCalendarSync_Installer.exe
    3. Once a dialog box appears, click "Save File." The download should open automatically. If it doesn't, manually open the download from your browser's download window.
    4. Click "OK" to confirm that you're aware this is an executable file.
    5. Read through the Google Calendar Sync Terms of Service, and click "I Agree."
    6. Continue to follow through the Installation Options and click "Install" to finish the set-up process.

    Once Google Calendar Sync is installed on your computer, the Google Calendar Sync Settings window will appear:


    Google Calendar Sync Settings window

    In the Settings window, enter your email address and password and select the Sync Option you prefer. For more information on each Sync Option, please visit this page.

    You'll also be able to set the time interval for syncing to occur. Please keep in mind that 10 minutes is the minimum time interval allowed.

    After the initial set-up, you can access the Google Calendar Sync Settings window again by double-clicking on the calendar icon in your Windows System Tray.


Icon Status

      To access the Google Calendar Sync Settings window, just right-click on the calendar icon in your Windows System Tray and select "Options".


      select Options from the menu

      When your events are actively syncing between Google Calendar and Microsoft Outlook Calendar, you'll see arrows in the Google Calendar Sync icon:


      Sync up-arrow/down-arrow icon

      When events aren't actively syncing, your calendar icon will look like this:


      Google Calendar Sync calendar icon

첨부파일은 access.cpl 으로써 SP2로 넘어가면서 내게 필요한 옵션이 제어판에서 사라지는 것 때문에 만약에 이 파일을 검색으로도 못찾을 경우를 생각해서 첨부파일로 올림.  이름바꾸기로 access.cpl 로 바꾸시면 됩니다.

 

실행(단축키 : 윈도우즈키 + R )을 하셔서 치시면 됩니다.

 

제어판/관리콘솔 실행명령어 리스트

 

< 제어판 바로실행 명령어 >

control  제어판
Access.cpl 내게 필요한 옵션
appwiz.cpl   프로그램 추가/제거
bthprops.cpl   블루투스장치설정
desk.cpl   디스플레이 등록정보
firewall.cpl   Windows방화벽
hdwwiz.cpl   새하드웨어추가마법사
inetcpl.cpl   인터넷등록정보
intl.cpl   국가및언어옵션
irprops.cpl   적외선포트 설정

joy.cpl   게임컨트롤러
main.cpl   마우스등록정보
mmsys.cpl   사운드및 오디오장치등록정보
ncpa.cpl   네트워크연결
netsetup.cpl   네트워크설정마법사
nusrmgr.cpl   사용자계정
nwc.cpl   네트워크 게이트웨이
odbccp32.cpl   ODBC데이터원본 관리자
powercfg.cpl    전원옵션 등록정보
sysdm.cpl   시스템등록정보
telephon.cpl   전화및모뎀 옵션  
timedate.cpl   날짜 및 시간 등록정보
wscui.cpl   Windwos보안센터
wuaucpl.cpl   자동업데이트
Sapi.cpl   텍스트 음성 변환설정
control Admintools   관리도구
control Folders   폴더옵션
control Userpasswords   사용자 계정


< 관리콘솔 명령어 >

certmgr.msc : 인증서
ciadv.msc : 인덱싱서비스
ntmsmgr.msc : 이동식저장소
ntmsoprq.msc : 이동식저장소 운영자 요청
secpol.msc : 로컬보안정책
wmimgmt.msc : WMI(Windows Management Infrastructure)
compmgmt.msc : 컴퓨터 관리
devmgmt.msc : 장치관리자
diskmgmt.msc : 디스크 관리
dfrg.msc : 디스크 조각모음
eventvwr.msc : 이벤트 뷰어
fsmgmt.msc : 공유폴더
gpedit.msc : 로컬 컴퓨터 정책
lusrmgr.msc : 로컬 사용자 및 그룹
perfmon.msc : 성능모니터뷰
rsop.msc : 정책의 결과와 집합
secpol.msc : 로컬 보안설정
services.msc : 서비스
C:WINDOWSsystem32Comcomexp.msc : 구성요소서비스
C:WINDOWSMicrosoft.NETFrameworkv1.1.4322mscorcfg.msc : .NET Configuration 1.1