많은 보안관련 사이트에서 IIS 의 파일확장자 우회를 통한 취약점에 대한 이야기가 많습니다.
IIS 6(window2003) 이하 버전 에서만 이러한 현상이 벌어진다고 하는데, 테스트를 해보니 그렇지않았습니다.
IIS5 (window 2000) 버전에서는 이러한 증상이 해당되지 않았습니다.1
하지만 IIS 6 에서는 tt.asp 의 파일명을 tt.asp;.jpg 로 변경하더라도 ASP 파일처럼 동작을 합니다. 2 닷넷파일은 확장자를 인식하지 못하였습니다.
 |  |
참조
MS IIS 파일 확장자 처리오류 취약점 주의 - 인터넷침해대응센터
추가.
2010.01.02 기능상의 버그일뿐 취약점은 아니라고 합니다.
참조
Public disclosure of IIS security issue with semi-colons in URL - IIS 블로그
URL에 세미콜론이 있는 경우 IIS 6.0의 처리 문제 - Secre Korea 블로그
'컴퓨터' 카테고리의 다른 글
| 2년전 백업 정보 삭제 쿼리(mssql 2000) (0) | 2010.01.27 |
|---|---|
| WebDAV 인증 우회에 대한 취약점 (0) | 2010.01.27 |
| IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다. (1) | 2009.12.30 |
| 커맨드라인의 활용 - 변수를 쓰자 (0) | 2009.12.15 |
| [ASP] Session.Timeout 최대값은 24시간 (0) | 2009.12.08 |
| 좋은 저장프로시저를 위한 21가지 팁 (2) | 2009.08.11 |
댓글을 달아 주세요
좋은 정보 감사합니다.
2010.08.12 16:08 [ ADDR : EDIT/ DEL : REPLY ]유용하게 잘 사용하였습니다.