IIS 6.0에서 파일명을 제대로 검증하지 않고 실행시키는 취약성이 발견되었다.
이 취약성에 대해서는 중국사이트에서 발견되었으며, 급속도로 Ctrl+C Ctrl+V 되어 가고 있다.. ^^
II6.0에 다 된다고 해서 테스트해보았으나 특정한 환경에서 가능하다는 것을 깨닭고 포기를 했으나, skinfosec 블로그에서 보고특정 환경에서만 가능하다는 정도만 파악했다.. 귀찮고 할일이 많아서 여유가 있으면 다시 테스트 해봐야겠다.
http://mss.skinfosec.co.kr/docs/wp-content/uploads/2009/10/skinfosec-chr-033-file-name-vulnerability-in-iis.pdf
II6.0이 설치되어 있고 OS 버전이 아래와 같으면 취약하다고 한다.
- 5.2.3790 SP1
- 5.23790 SP2
- 5.2.3790 SP2+ 최신보안 업데이트
대응방안으로는 MS社에서 패치가 나오거나 아래와 같이 설정을 변경한다.
파일의 이름은 223자까지 사용되는것으로 보이기고 jpg,gif 이외에 다른 파일 확장자도 되는지 확인 해봐야하기때문에 우선 공개된 내용으로 패턴을 만들어 보았다.
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"MS IIS 6.0 x.asp;x.jpg/x.php;x.jpg File Execution"; flow:established, to_server; pcre:"/[a-zA-Z0-9_]{1,223}\.(asp|php)\;[a-zA-Z0-9_]{1,223}\.(jpg|gif)/mi";sid:XXXX;)
이 취약성에 대해서는 중국사이트에서 발견되었으며, 급속도로 Ctrl+C Ctrl+V 되어 가고 있다.. ^^
II6.0에 다 된다고 해서 테스트해보았으나 특정한 환경에서 가능하다는 것을 깨닭고 포기를 했으나, skinfosec 블로그에서 보고특정 환경에서만 가능하다는 정도만 파악했다.. 귀찮고 할일이 많아서 여유가 있으면 다시 테스트 해봐야겠다.
http://mss.skinfosec.co.kr/docs/wp-content/uploads/2009/10/skinfosec-chr-033-file-name-vulnerability-in-iis.pdf
II6.0이 설치되어 있고 OS 버전이 아래와 같으면 취약하다고 한다.
- 5.2.3790 SP1
- 5.23790 SP2
- 5.2.3790 SP2+ 최신보안 업데이트
대응방안으로는 MS社에서 패치가 나오거나 아래와 같이 설정을 변경한다.
파일의 이름은 223자까지 사용되는것으로 보이기고 jpg,gif 이외에 다른 파일 확장자도 되는지 확인 해봐야하기때문에 우선 공개된 내용으로 패턴을 만들어 보았다.
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"MS IIS 6.0 x.asp;x.jpg/x.php;x.jpg File Execution"; flow:established, to_server; pcre:"/[a-zA-Z0-9_]{1,223}\.(asp|php)\;[a-zA-Z0-9_]{1,223}\.(jpg|gif)/mi";sid:XXXX;)
'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글
보안장비 정책 설정 중 특이 로그 발견-1 (0) | 2012.03.09 |
---|---|
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요 (1) | 2011.04.04 |
ZeroBoard PHP Mass Sql-Injection(download.php) (0) | 2010.01.26 |
iframe 신종(?)우회 방법-2 (0) | 2009.10.09 |
iframe 신종(?) 우회 방법 (0) | 2009.10.08 |