[window/윈도우 서버] IIS 파일 업로드 및 다운로드 제한

 

 

W-17 IIS 파일 업로드 및 다운로드 제한

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

IIS 파일 업로드 및 다운로드 제한 설정 여부 점검

 

■ 점검목적

 

기반시설 시스템은 파일의 업로드 및 다운로드를 원칙적으로 금지하나, 부득이 파일의 업로드 및 다운로드 기능을 활용해야 하는 경우, 파일의 용량 제한을 설정하여 보안성 유지 및 안정적인 웹서버 자원관리를 할 수 있도록 하기 위함

 

■ 보안위협

 

대용량 파일 업로드 및 다운로드가 가능한 경우 서버 리소스에 영향을 주어 서비스 장애가 발생할 수 있음

 

■ 참고

 

※ IIS에서는 파일의 업로드 및 다운로드 기능을 직접적으로 차단하는 기능이 없어, 웹사이트 내 파일의 업로드 및 다운로드 기능의 구현 여부의 병행 점검이 필요

 

 

점검대상 및 판단기준(윈도우 서버, window)

 

■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

 

양호

웹 프로세스의 서버 자원 관리를 위해 업로드 및 다운로드 용량을 제한하는 경우

 

취약

웹 프로세스의 서버 자원을 관리하지 않는 경우 (업로드 및 다운로드 용량 미 제한)

 

■ 조치방법

 

파일 업로드 및 다운로드 용량을 허용할 수 있는 최소 범위로 설정

 

 

점검 및 조치 방법

 

■ Windows NT, 2000, 2003

Step 1) 시작> 실행> SERVICES.MSC> IISADMIN> 속성> [일반] 탭에서 서비스 중지

Step 2) %systemroot%\system32\inetsrv\MetaBase.xml 파일을 찾아 편집기로 OPEN

Step 3) AspMaxRequestEntityAllowed 값을 찾아 파일 업로드 용량을 최소 범위로 제한

Step 4) AspBufferingLimit 값을 찾아 파일 다운로드 용량을 최소 범위로 제한

Step 5) 시작> 실행> SERVICES.MSC> IISADMIN> 속성> [일반] 탭에서 서비스 시작

 

 

■ Windows 2008, 2012, 2016, 2019

 

Step 1) 등록된 웹 사이트의 루트 디렉터리 디렉토리에 있는 web.config 파일 내 아래 항목 추가
(web.config 파일이 없으면 사이트 홈 디렉토리에 새로 생성)

<configuration> <system.webServer> <security> <requestFiltering> <requestLimits maxAllowedContentLength="콘텐츠용량" /> </requestFiltering> </security> </system.webServer> </configuration>

 

Step 2) %systemroot% \system32 \inetsrv \config \applicationHost.config 파일 내 아래 항목 추가

<system.webServer> <asp> <limits bufferingLimit="파일다운로드용량" maxRequestEntityAllowed="파일업로드용량"/> </asp> </system.webServer>

 

※ Default 설정 값
(1) maxAllowedContentLength (콘텐츠 용량) => Default: 30MB
(2) MaxRequestEntityAllowed (파일 업로드 용량) => Default: 200000 byte
(3) bufferingLimit (파일 다운로드 용량) => Default: 4MB(4194304 byte)

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음