Zasfe
Zasfe's memory
Zasfe
전체 방문자
오늘
어제
  • 분류 전체보기 (143)
    • 이야기 (50)
    • 뜻알기 (1)
    • 컴퓨터 (91)

인기 글

최근 글

태그

  • 저장프로시저
  • webshell
  • webhacking
  • webknight2.1
  • 생각
  • MSSQL2K
  • 보안
  • Security
  • error
  • Autoit
  • 캐슬
  • backup
  • Function
  • 배치파일
  • Skin
  • IIS
  • cmd
  • webknight 2.2
  • webknight2.2
  • Microsoft Windows 2000 Scripting Guide
  • VBScript
  • Castle
  • webknight
  • web.config
  • nslookup
  • MSSQL
  • IIS7
  • ASP
  • rsync
  • 홈페이지 보안 강화도구
hELLO · Designed By 정상우.
Zasfe

Zasfe's memory

홈페이지 보안 강화 도구 캐슬(CASTLE) - 메세지차단방식의 참고사항
컴퓨터

홈페이지 보안 강화 도구 캐슬(CASTLE) - 메세지차단방식의 참고사항

2009. 2. 4. 14:00

홈페이지 보안 강화 도구 캐슬(CASTLE, 이하 캐슬) 에 의해 접근이 차단이 되는 경우, 특정 이미지를 포함하는 페이지를 보여주거나 경고창을 띄우도록 되어 있습니다.

지난번 포스트에서 이야기했듯이 특정 이미지가 포함되어서 캐슬 의 설치 경로가 노출이 될 가능성이 있었습니다.
메세지모드로 탐지를 할경우 다음 이미지와 같은 메세지가 표시가 됩니다.

홈페이지 보안강화 도구 캐슬 - 차단 메세지

차단 메세지

저 이미지의 경로가 어디로 되어 있는지 확인해보면 [캐슬설치폴더/img/sorry.gif] 로 되어 있습니다.

차단 메세지

캐슬은 공개된 홈페이지 보안 강화 도구 입니다. 다운을 받아서 누구나 내용을 분석할수 있으며, 캐슬의 있을지모를 버그를 발견할수도 있습니다. 버그는 논의로 치더라도 설정파일이 어디에 있는지는 바로 확인이 가능합니다.

설정파일은 [캐슬 설치폴더/castle_policy.asp] 입니다. 물론 캐슬설치 전제조건인 CAPICOM.Utilities 를 이용해서 base64로 인코딩되어 있기때문에 사람이 알아볼수 있는 내용으로 변경하는 디코딩을 해야합니다. 다만, 직접적인 페이지접근으로는 인증때문에 내용이 보이지 않습니다.[주:내용자체가 인코딩된 내용이기때문에 디코딩하기전까지는 확인하기 어렵습니다.]

그렇기 때문에 메세지 모드으로 사용할 경우, 캐슬의 기본 이미지가 아닌 사용자가 임의로 이미지로 변경하는 편이 보다 나은 보안을 유지하실수가 있습니다.

  1. 캐슬 설치폴더/castle_referee.asp 를 좋아하는 편집기(예: Acroedit )로 연다.
  2. 이 파일중 136번째줄의 부분을 원하는 경로의 이미지로 변경한다
    변경전
    136:        Response.Write("<center><br><br><br><img src=" & error_img & "></center>")

    변경후
    136:        Response.Write("<center><br><br><br><img src=/img/error.gif></center>")
관련 링크
    [tag]홈페이지 보안 강화도구|10|date|asc[/tag]

'컴퓨터' 카테고리의 다른 글

IE8 출시에 따른 강제 호환성보기 소스설정  (0) 2009.04.03
IIS 6 에서 mdb 를 다운받는 방법  (3) 2009.03.27
캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구  (4) 2009.01.30
[VBScript] 특정경로의 원본 이름 추출  (2) 2009.01.06
배치파일활용01 - 날짜단위 폴더,파일 만들기  (0) 2009.01.05
    '컴퓨터' 카테고리의 다른 글
    • IE8 출시에 따른 강제 호환성보기 소스설정
    • IIS 6 에서 mdb 를 다운받는 방법
    • 캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구
    • [VBScript] 특정경로의 원본 이름 추출
    Zasfe
    Zasfe
    느낌. 기억

    티스토리툴바