계: Environment
이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.
ASP.NET Misconfiguration: Information Disclosure
Abstract
ASP.NET 웹 서비스의 설명서 프로토콜이 활성화되어 있어 서비스를 오용하는 방법에 대한 정보가 공개될 수 있습니다.
Explanation
ASP.NET 웹 서비스는 웹 서비스와의 통신 방법을 설명하는 문서를 자동으로 생성하여 웹 서비스 클라이언트의 개발을 용이하게 합니다.
문서 프로토콜이 활성화된 웹 서비스는 브라우저 요청이 수신될 때 HTML 형식의 페이지를 생성합니다.
이 HTML 형식 페이지는 다음 정보를 설명합니다.
1. 지원되는 작업
2. 각 작업에서 수락하는 매개 변수
3. 해당 매개 변수로 전달되어야 하는 데이터 유형
문서 프로토콜은 XML 형식의 WSDL(웹 서비스 기술 언어) 파일도 생성합니다. 이 파일은 응용 프로그램이 웹 서비스에 대한 요청을 구성하는 방법을 이해할 수 있도록 설계되었습니다. 이 정보는 개발자, 특히 공용 웹 서비스용 클라이언트를 만드는 개발자에게 매우 유용할 수 있습니다. 그러나 개인 웹 서비스의 기능에 대한 자세한 정보를 공개하면 악의적인 공격자가 웹 서비스를 남용할 위험이 높아집니다. 문서 프로토콜은 항상 웹 서비스의 모든 함수와 매개 변수를 설명합니다. 이러한 함수의 일부만 공개적으로 액세스할 수 있도록 의도된 경우에도 마찬가지입니다.
문서 프로토콜이 활성화된 웹 서비스는 브라우저 요청이 수신될 때 HTML 형식의 페이지를 생성합니다.
이 HTML 형식 페이지는 다음 정보를 설명합니다.
1. 지원되는 작업
2. 각 작업에서 수락하는 매개 변수
3. 해당 매개 변수로 전달되어야 하는 데이터 유형
문서 프로토콜은 XML 형식의 WSDL(웹 서비스 기술 언어) 파일도 생성합니다. 이 파일은 응용 프로그램이 웹 서비스에 대한 요청을 구성하는 방법을 이해할 수 있도록 설계되었습니다. 이 정보는 개발자, 특히 공용 웹 서비스용 클라이언트를 만드는 개발자에게 매우 유용할 수 있습니다. 그러나 개인 웹 서비스의 기능에 대한 자세한 정보를 공개하면 악의적인 공격자가 웹 서비스를 남용할 위험이 높아집니다. 문서 프로토콜은 항상 웹 서비스의 모든 함수와 매개 변수를 설명합니다. 이러한 함수의 일부만 공개적으로 액세스할 수 있도록 의도된 경우에도 마찬가지입니다.
References
[1] HOW TO: Disable the Documentation Protocol for ASP.NET Web Services
[2] HOW TO: Limit the Web Services Protocols that a Server Permits
[3] Web.config
[4] Web Services Settings Schema
[5] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165
[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)
[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement
[9] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[10] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[11] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
[12] Standards Mapping - OWASP Top 10 2013 A2 Broken Authentication and Session Management
[13] Standards Mapping - OWASP Top 10 2017 A2 Broken Authentication
[14] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[15] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[20] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[21] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[22] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[23] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[24] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[25] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[26] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[27] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[28] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[29] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II
[30] Standards Mapping - Web Application Security Consortium Version 2.00 Fingerprinting (WASC-45)
desc.configuration.dotnet.asp_dotnet_misconfiguration_information_disclosure