'asp.dll'에 해당되는 글 1건

IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.  -  2009/12/30 14:00

/보안글


 많은 보안관련 사이트에서 IIS 의 파일확장자 우회를 통한 취약점에 대한 이야기가 많습니다.

IIS 6(window2003) 이하 버전 에서만 이러한 현상이 벌어진다고 하는데, 테스트를 해보니 그렇지않았습니다.

IIS5 (window 2000) 버전에서는 이러한 증상이 해당되지 않았습니다.[각주:1]
IIS 5 파일확장자 우회취약점 캡춰


하지만 IIS 6 에서는 tt.asp 의 파일명을 tt.asp;.jpg 로 변경하더라도 ASP 파일처럼 동작을 합니다. [각주:2] 닷넷파일은 확장자를 인식하지 못하였습니다.


참조
MS IIS 파일 확장자 처리오류 취약점 주의 - 인터넷침해대응센터


추가.
2010.01.02 기능상의 버그일뿐 취약점은 아니라고 합니다.
참조
Public disclosure of IIS security issue with semi-colons in URL - IIS 블로그
URL에 세미콜론이 있는 경우 IIS 6.0의 처리 문제 - Secre Korea 블로그
  1. 기본 OS 설치에 IIS 만 올린 상태인데 ASP 파일처럼 사용되기는 커녕 텍스트파일처럼 사용이 됩니다. [본문으로]
  2. IIS5 버전과 IIS6 버전의 ASP.dll 파일이 버전이 다릅니다. IIS5의 asp.dll 버전은 5.0.2195.6672 이며, IIS6의 asp.dll 버전은 6.0.3790.3050 입니다. [본문으로]

'보안글' 카테고리의 다른 글

IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.  (1) 2009/12/30
홈페이지 보안 강화 도구 캐슬(CASTLE) - 메세지차단방식의 참고사항  (8) 2009/02/04
캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구  (4) 2009/01/30
웹해킹 파일 분석  (0) 2009/01/02
내 웹사이트가 있는 서버 관리자는 보안을 모른다?  (4) 2008/11/04
Mass SQL Injection 일괄 삭제하기 - VBScript  (21) 2008/10/31

, , ,
Trackback(0) : Comment(1)
Trackback Address :: http://zasfe.com/trackback/171 관련글 쓰기
  • 콩나물 | 2010/08/12 16:08 | PERMALINK | EDIT/DEL | REPLY

    좋은 정보 감사합니다.
    유용하게 잘 사용하였습니다.

Name   Password   Homepage Secret
< PREV | 1| NEXT >