Zasfe
Zasfe's memory
Zasfe
전체 방문자
557,295
오늘
0
어제
15
  • 분류 전체보기 (143)
    • 이야기 (50)
    • 뜻알기 (1)
    • 컴퓨터 (91)

인기 글

  • 리눅스에서 오라클 실행하기
    2014.07.04
  • 이벤트로그에 10016 Distribute⋯
    2014.10.07
    이벤트로그에 10016 Distribute⋯
  • 신뢰할수 있는 사이트 등록하기
    2009.05.22
  • [ASP] Session.Timeout 최대값⋯
    2009.12.08
    [ASP] Session.Timeout 최대값⋯
  • CentOS 5.x 설치후 X Window 설⋯
    2014.06.24

최근 글

  • 워나크라이(WannaCry) 대란
    2017.05.15
  • 이벤트로그에 10016 Distribute⋯
    2014.10.07
    이벤트로그에 10016 Distribute⋯
  • 리눅스에서 오라클 실행하기
    2014.07.04
  • CentOS 5.x 설치후 X Window 설⋯
    2014.06.24
  • CentOS 4.x Yum repo 재설정 방법
    2014.06.20

태그

  • 홈페이지 보안 강화도구
  • ASP
  • IIS
  • 저장프로시저
  • nslookup
  • 보안
  • webknight2.1
  • MSSQL
  • 배치파일
  • IIS7
  • error
  • Castle
  • Security
  • 생각
  • 캐슬
  • rsync
  • VBScript
  • webknight
  • cmd
  • Skin
  • Microsoft Windows 2000 Scripting Guide
  • web.config
  • webknight 2.2
  • webknight2.2
  • Autoit
  • webshell
  • Function
  • webhacking
  • backup
  • MSSQL2K
hELLO · Designed By 정상우.
Zasfe

Zasfe's memory

IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.
컴퓨터

IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.

2009. 12. 30. 14:00

 많은 보안관련 사이트에서 IIS 의 파일확장자 우회를 통한 취약점에 대한 이야기가 많습니다.
IIS 6(window2003) 이하 버전 에서만 이러한 현상이 벌어진다고 하는데, 테스트를 해보니 그렇지않았습니다.

IIS5 (window 2000) 버전에서는 이러한 증상이 해당되지 않았습니다.[각주:1]
IIS 5 파일확장자 우회취약점 캡춰


하지만 IIS 6 에서는 tt.asp 의 파일명을 tt.asp;.jpg 로 변경하더라도 ASP 파일처럼 동작을 합니다. [각주:2] 닷넷파일은 확장자를 인식하지 못하였습니다.


참조
MS IIS 파일 확장자 처리오류 취약점 주의 - 인터넷침해대응센터



추가.
2010.01.02 기능상의 버그일뿐 취약점은 아니라고 합니다.
참조
Public disclosure of IIS security issue with semi-colons in URL - IIS 블로그
URL에 세미콜론이 있는 경우 IIS 6.0의 처리 문제 - Secre Korea 블로그
  1. 기본 OS 설치에 IIS 만 올린 상태인데 ASP 파일처럼 사용되기는 커녕 텍스트파일처럼 사용이 됩니다. [본문으로]
  2. IIS5 버전과 IIS6 버전의 ASP.dll 파일이 버전이 다릅니다. IIS5의 asp.dll 버전은 5.0.2195.6672 이며, IIS6의 asp.dll 버전은 6.0.3790.3050 입니다. [본문으로]

'컴퓨터' 카테고리의 다른 글

2년전 백업 정보 삭제 쿼리(mssql 2000)  (0) 2010.01.27
WebDAV 인증 우회에 대한 취약점  (0) 2010.01.27
IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.  (1) 2009.12.30
커맨드라인의 활용 - 변수를 쓰자  (0) 2009.12.15
[ASP] Session.Timeout 최대값은 24시간  (0) 2009.12.08
좋은 저장프로시저를 위한 21가지 팁  (2) 2009.08.11
    '컴퓨터' 카테고리의 다른 글
    • 2년전 백업 정보 삭제 쿼리(mssql 2000)
    • WebDAV 인증 우회에 대한 취약점
    • 커맨드라인의 활용 - 변수를 쓰자
    • [ASP] Session.Timeout 최대값은 24시간
    asp.dll, IIS, window 2003, 파일확장자 우회취약점
    Zasfe
    Zasfe
    느낌. 기억
    댓글쓰기
    1. 콩나물
      2010.08.12 16:08
      좋은 정보 감사합니다.
      유용하게 잘 사용하였습니다.
      수정/삭제댓글쓰기댓글보기
    다음 글
    WebDAV 인증 우회에 대한 취약점
    이전 글
    모바일시장에 대한 편협한 생각
    • 이전
    • 1
    • ···
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • ···
    • 143
    • 다음

    티스토리툴바