컴퓨터

    WebDAV 인증 우회에 대한 취약점

    WebDAV 인증 우회에 대한 취약점 마이크로소프트 보안 권고문 971492(http://www.microsoft.com/technet/security/advisory/971492.mspx)이 5월 18일자로 공지되었습니다.Microsoft Internet Information Services (이하 IIS) 의 WebDAV 를 사용하는 경우에 발생할수 있습니다. WebDAV 에서 유니코드(동아시아 언어권에서 주로사용)로 코드를 처리하는 과정에서 발생하는 취약점으로HTTP GET 요청에 "Translate: f" 를 HTTP 해더에 추가하여서 WebDAV폴더로 파일을 업로드 하는 방법 입니다. 다음에 해당하시는 분들에게 영향을 줄수 있는 내용입니다.- IIS 5.x, IIS 6 의 버전을 사용- WebD..

    IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.

    많은 보안관련 사이트에서 IIS 의 파일확장자 우회를 통한 취약점에 대한 이야기가 많습니다.IIS 6(window2003) 이하 버전 에서만 이러한 현상이 벌어진다고 하는데, 테스트를 해보니 그렇지않았습니다. IIS5 (window 2000) 버전에서는 이러한 증상이 해당되지 않았습니다. 하지만 IIS 6 에서는 tt.asp 의 파일명을 tt.asp;.jpg 로 변경하더라도 ASP 파일처럼 동작을 합니다. 닷넷파일은 확장자를 인식하지 못하였습니다. 참조MS IIS 파일 확장자 처리오류 취약점 주의 - 인터넷침해대응센터 추가. 2010.01.02 기능상의 버그일뿐 취약점은 아니라고 합니다. 참조 Public disclosure of IIS security issue with semi-colons in UR..

    커맨드라인의 활용 - 변수를 쓰자

    마이크로소프트 윈도우 라고 하면 네모모양의 GUI 메뉴를 기본적으로 생각을 하고 계신 분들이 많습니다. 그것들은 윈도우를 편리하게 사용하기 위해서 만들어 놓은 장치들입니다. 편리하게 만들어 놓은 장치도 있지만, 대다수가 편리하게 생각하는 방법도 어떻게 쓰려는지에 따라 불편하게 느껴지게 마련입니다. ( 저는 이래서 컴퓨터를 알아가면 갈수록 어렵다는 생각이 들게 됩니다.) 사용자가 원하는 작업을 위해서는 굳이 GUI 메뉴를 이용할 필요는 없습니다. 바로 커맨드라인때문입니다. 커맨드라인은 윈도우에는 기본적으로 설치가 되어 있는 명령행프로그램입니다. 명령행이라는 단어에서 느껴지듯이 하나의 행을 기준으로 명령어가 실행되는 프로그램입니다. 이를 조금더 확장시켜 하나의 행을 실행하면서 결과를 반환하는 것들이 모여서 ..

    [ASP] Session.Timeout 최대값은 24시간

    예전에는 별로 신경을 쓰지 않던 부분이였는데, 그냥 지나치려다가 기억력을 돕는 차원에서 정리합니다. 대부분 session.timeout 은 사용자의 로그인등에 사용을 합니다. 사이트 방문자의 경우 로그인같이 특별한 경우가 아니면 성능상 불필요합니다. 또한, 되도록이면 session 변수의 사용을 자제하는것이 사이트의 성능을 높이는 방법이 되고 있습니다. 그렇다 하더라도 Session.Timeout 의 최대값에 대해서는 알아둘 필요가 있습니다. ASP 에서는 24시간(1440분)이 최대 Session.timeout 값 입니다. 그 이상의 값을 설정했을경우 오류가 발생을 하게 됩니다. 이 설정은 의도된 설정이라고 합니다. 이 설정을 우회하기 위해서는 쿠키를 이용하여야 합니다. - 참조 PRB: Session..

    좋은 저장프로시저를 위한 21가지 팁

    좋은 저장프로시저를 위한 21가지 팁 키워드 SQL 명령어는 대문자로 알아보기 쉽게 표시한다. SQL-92 항상 ANSI 92 를 사용하도록 노력해야 합니다. 변수 가능한 최소한으로 사용하여 캐쉬 공간에 여유를 주어야합니다. 동적 쿼리 최소한으로 사용하여야한다. 동적쿼리에 따라 재컴파일이 된다. 친숙한 전체 이름 사용 database_name.schema_name.table_name 으로 사용을 해야 하며, CREATE PROCEDURE dbo.Your_Proc_name 처럼 사용해여 합니다. SET NOCOUNT OFF 실행 결과 행은 네트워크 트래픽을 사용하게 되므로 주의해여 한다. sp_ 접두어를 사용하지 않는다 시스템데이터베이스(MASTER) 와 사용자 데이터베이스에 같은 이름의 저장프로시져가 있..