IOS 상의 HTTP 서버를 사용해야만 한다면, HTTP WEB_EXEC 서비스를 비활성화 함으로써 위험을 감소시킬 수 있다
보안위협
허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대입 공격을 통하여 네트워크 장비의 관리자 권한을 획득할 수 있다
인젝션
SQL, OS, NoSQL, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리 문의 일부분이 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령어를 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다
조치방법
Router# config terminal
Router(config-if)# no ip http server
Router# config terminal
Router(config-if)# ip http active-session-dodules exclude_webexec
Router(config-if)# ip http secure-active-session-modules exclude_webexec
'취약점 진단 > 네트워크' 카테고리의 다른 글
timestamp 로그 설정 (0) | 2020.07.10 |
---|---|
Finger 서비스 차단 (0) | 2020.07.10 |
TCP/UDP Small 서비스 차단 (0) | 2020.07.10 |
Bootp 서비스 차단 (0) | 2020.07.10 |
CDP 서비스 차단 (0) | 2020.07.10 |