컴퓨터2010. 2. 6. 18:31

IIS7 에서는 일반연결(http) 와 보안연결(https) 간 세션유지가 되지 않습니다.

기본적으로 IIS7 은 http 연결과 https 연결의 세션을 별도로 관리 합니다.

그렇기 때문에 https 페이지에서 http 페이지로 넘어오게 되면 도메인이 같더라도 세션정보가 보이지 않게됩니다.

 

일단 해결방법은 다음과 같습니다.

 


 

기본적으로 보안 연결(HTTPS) 로의 접속시 세션이 별도의 영역에서 사용되도록 되어 있습니다. 보안 연결(HTTPS) 연결을 사용시에는 일반 연결(HTTP) 과는 별도의 영역으로 분리되어 세션이 서로 다른 사이트처럼 운영이 됩니다. 그렇기때문에 이를 하나의 사이트로 운영하기 위해서는 반드시 보안 연결의 새 IDFalse 로 설정해야 합니다.

'컴퓨터' 카테고리의 다른 글

CentOS 4.x Yum repo 재설정 방법  (0) 2014.06.20
윈도우 업데이트 에러 0x80070422  (0) 2010.02.09
IIS7 에서는 일반연결(http) 와 보안연결(https) 간 세션유지가 되지 않습니다.  (1) 2010.02.06
데이터베이스 간략정보 추출 쿼리  (0) 2010.01.28
UTC 시간을 확인하기 위한 스크립트  (0) 2010.01.28
2년전 백업 정보 삭제 쿼리(mssql 2000)  (0) 2010.01.27
Posted by Zasfe
TAG ASP, ASP.NET, http, https, IIS7, Session
Trackback 0 Comment 1

댓글을 달아 주세요

  1. 초보세팅

    감사합니다. 많은 도움이 되었습니다.^^

    2010.03.23 12:16 [ ADDR : EDIT/ DEL : REPLY ]

컴퓨터2009. 12. 8. 12:00

[ASP] Session.Timeout 최대값은 24시간

예전에는 별로 신경을 쓰지 않던 부분이였는데, 그냥 지나치려다가 기억력을 돕는 차원에서 정리합니다.

대부분 session.timeout 은 사용자의 로그인등에 사용을 합니다. 사이트 방문자의 경우 로그인같이 특별한 경우가 아니면 성능상 불필요합니다. 또한, 되도록이면 session 변수의 사용을 자제하는것이 사이트의 성능을 높이는 방법이 되고 있습니다.

그렇다 하더라도 Session.Timeout 의 최대값에 대해서는 알아둘 필요가 있습니다.

ASP 에서는 24시간(1440분)이 최대 Session.timeout 값 입니다.

그 이상의 값을 설정했을경우 오류가 발생을 하게 됩니다.

 

 

이 설정은 의도된 설정이라고 합니다.

 

이 설정을 우회하기 위해서는 쿠키를 이용하여야 합니다.

 

- 참조

PRB: Session.Timeout의 최대값은 24시간이다
성능 및 스타일 향상에 도움이 되는 28가지 ASP 팁

'컴퓨터' 카테고리의 다른 글

WebDAV 인증 우회에 대한 취약점  (0) 2010.01.27
커맨드라인의 활용 - 변수를 쓰자  (0) 2009.12.15
[ASP] Session.Timeout 최대값은 24시간  (0) 2009.12.08
좋은 저장프로시저를 위한 21가지 팁  (2) 2009.08.11
클립보드를 확장하자 멀티 클립보드 CLCL  (0) 2009.08.06
sp_addlinkedserver 를 이용해서 MSSQL 2005 에서 MSSQL 2000 연결하기  (0) 2009.07.01
Posted by Zasfe
TAG 24시간, ASP, Session, session.timeout
Trackback 0 Comment 0

댓글을 달아 주세요

보안글2009. 1. 30. 16:05

캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구

이전에 배포하던 웹쉘 탐지 프로그램(Whistl)[주:물론 사용자동의는 구하지만 검색된 웹쉘로 추측되는 정보를 추후 동의 사용자동의 없이 타서버로 전송된다는것은 그다지 유쾌하지 않은 기억이였습니다.]에 대해서 안좋은 기억이 있었는데,지난 1월 20일에 인터넷침해사고대응센터(http://www.krcert.or.kt) 에서는 홈페이지 보안 강화 도구(CASTLE) 를 보급하기 시작했습니다.

많은 분들이 설치가이드나 FaQ, 등을 참고하여서 포스팅을 하고 있기때문에 많은 분들이 이런게 있다라는 것에 대해서는 보안에 관심이 있는 관련업계분들은 들어보셨으리라 생각합니다.

그래서 설치되는 부분의 소스를 분석해보고 설치후 약간의 악의적인 접근을 시도하면서 몇가지 겪은점에 대해서 이야기를 해보겠습니다.

홈페이지 보안 강화도구(CASTLE)

CASTLE 다운로드(ASP, PHP, JSP)
CASTLE 사용자 설명서 다운로드
CASTLE 설치 가이드 다운로드
CASTLE FAQ 다운로드

□ CASTLE의 주요기능
o 보안성 강화
- OWASP 10대 주요 취약점 해결
- 소스코드 수준의 웹 어플리케이션 보안성 강화

o 사용자 편리성 강화
- 관리기능으로 편리한 정책 설정 지원
- 운영 중인 프로그램 소스의 최소 수정으로도 적용 가능
o 높은 호환성 지원

- 다양한 웹 서버 환경과 웹 어플리케이션에서 동작할 수 있는 호환성 지원

□ 기대효과
o CASTLE 확산으로 국내 웹 어플리케이션의 보안성 향상
o 개발자들은 개발 단계에서부터 CASTLE 통합적으로 적용하여 보안성 강화
o 서버 관리자들은 편리한 사용과정을 통해 기존 웹 어플리케이션 수정용이

일단 제가 직접 실행해보고 느낀점은 편하기는 한데, 사용중인 사이트가 개별적인 단일파일로 이루어진 구조라면 사용이 좀 어렵지 번거롭다는 것입니다. 왜냐하면 설치 가이드를 보시면 아시겠지만, CASTLE 소스로 연결(include)를 하는 부분이 있는데, 몇개의 파일을 연결(include) 하는 는 구조일경우에는 정말 편하게 소스몇줄 추가하는 것으로 가능하여서 손쉬운 적용이 가능하지만 그렇지 않은 사이트는 어쩔수 없이 모든 소스를 수정하는 번거로운 작업을 감수해야 하기 때문입니다.

<%
' 설치시 추가되어야 하는 소스 예제
' 설치 디렉토리가 castle-asp 인 경우
Application("CASTLE_ASP_VERSION_BASE_DIR") = "castle-asp"
Server.Execute(Application("CASTLE_ASP_VERSION_BASE_DIR") & "/castle_referee.asp")
%>

차라리 소스파일들이 각기 다른 파일로 이루어져있다면 그나마 사이트내 모든 asp 파일을 찾은 다음, 최상단에 위의 코드를 추가하는 방법으로 처리할수도 있습니다.

(테스트를 해보니 중복으로 CASTLE에 연결되어 있어도 사용상에는 문제가 없습니다. 2번 중복으로 CASTLE에 연결하는 테스트를하면서 우려했던 로그 2방찍기도 발견되지 않았습니다. 원래 되어야 하는거 아닌가요.? ;; )

- 차후 소스분석후 이부분에 대한 내용을 올리도록 하겠습니다.

간단요약

홈페이지 보안 강화도구(CASTLE)
  1. 장점
    1. 웹페이지로 이루어진 간단한 관리자 페이지.
    2. 모드설정을 통한 사용시 발생할수 있는 문제에 대한 정책적용결과에 대한 예측 가능.
    3. Webknight 처럼 서버관리자를 통하지 않고 직접적인 설정을 통한 빠른 대처가능.
    4. 서비스의 중단없는 빠른 차단효과
  2. 단점
    1. 소스를 연결(include)를 사용하지 않을 경우, 일괄적으로 모든 웹페이지소스에 코드추가를 하여야 하는 불편함.
    2. txt 파일로의 로그 기록을 통한 통계의 어려움.
    3. 정규식을 통한 차단이기때문에 추가적인 정책설정을 위해서는 반드시 정규식에 대한 이해가 필요.
    4. GET, POST, COOKIE(쿠키) 에 대한 개별 설정 불가.
  3. 추가 개선되어야할 부분
    1. 문제발생에 대한 경고문구의 수정불가. ( 소스수정을 통해서만 가능 )
    2. 에러메시지를 표시하는 부분에서 캐슬의 설치경로 노출가능성 있음. ( 텍스트등의 문자로만 표시할수 있는 기능이필요)

관련 링크
    [tag]홈페이지 보안 강화도구|10|date|asc[/tag]

'보안글' 카테고리의 다른 글

IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.  (1) 2009.12.30
홈페이지 보안 강화 도구 캐슬(CASTLE) - 메세지차단방식의 참고사항  (9) 2009.02.04
캐슬(CASTLE) - 소스추가형 웹사이트 보안강화 도구  (4) 2009.01.30
웹해킹 파일 분석  (0) 2009.01.02
내 웹사이트가 있는 서버 관리자는 보안을 모른다?  (4) 2008.11.04
Mass SQL Injection 일괄 삭제하기 - VBScript  (21) 2008.10.31
Posted by Zasfe
TAG ASP, Castle, krCERT, Security, 웹해킹, 캐슬, 홈페이지 보안 강화도구
Trackback 2 Comment 4

댓글을 달아 주세요

  1. Favicon of http://zzigregi.com BlogIcon 달팽이

    어익후, 제가 미처 실례를,, 바로 삭제하였습니다.;;

    2009.02.02 11:09 [ ADDR : EDIT/ DEL : REPLY ]
    • zasfe

      감사합니다. 인용이나 링크를 부탁드립니다.

      2009.02.02 13:31 [ ADDR : EDIT/ DEL ]
  2. Favicon of http://zzigregi.com BlogIcon 달팽이

    ^_^// 안녕하세요.
    우연찮게 서치하다가 들립니다.
    훌륭한 Review를 잘 보았습니다^^.

    2009.02.02 11:28 [ ADDR : EDIT/ DEL : REPLY ]
    • zasfe

      좋은 툴을 만들어주셔서 감사합니다.

      내용을 쭉 긁어가시는것은 자제를 부탁드립니다.;;

      2009.02.02 10:23 [ ADDR : EDIT/ DEL ]

컴퓨터2008. 5. 27. 09:01

[ASP] loadpicture 구문을 이용한 이미지의 크기구하기

  <%
Set p = LoadPicture("d:\temp\temp.gif")
' 반드시 절대 경로가 들어가야 하며 경로가 정확하지 않을 시 에러를 발생 한다.
x = CLng(Cdbl(p.width)*24/635)    ' 이미지 가로 크기
y = CLng(Cdbl(p.height)*24/635)   ' 이미지 세로 크기
Set p = Nothing
%>

다음과 같은 오류가 날수 있습니다.

Microsoft VBScript 런타임 오류 오류 '800a0046'
사용 권한이 없습니다.: 'LoadPicture'
/kr/bbs/include/function.asp, 줄 606

이미지가 있는 폴더에 IUSR [모든권한]을 주셔야 합니다. ( 적어도 수정권한까지 )
그래도 해결이 안될경우는%systemroot%\temp 폴더에 users 그룹이 파일을만들수 있는 권한(NTFS)이 설정되어 있어야합니다.

사용자 삽입 이미지

'컴퓨터' 카테고리의 다른 글

Rsync 사용시 에러 발생  (0) 2008.08.25
[해킹] GoogleBot 으로 위장한 웹해킹 시도  (0) 2008.06.10
[ASP] loadpicture 구문을 이용한 이미지의 크기구하기  (0) 2008.05.27
[이벤트로그] 터미널서비스 알림 초기화 실패. / TermServDevices  (2) 2008.04.03
엑셀 링크 한번에 없애기  (0) 2008.02.20
Xcacls.vbs를 사용하여 NTFS 권한을 수정하는 방법  (0) 2008.02.18
Posted by Zasfe
TAG 800a0046, ASP, loadpicture
Trackback 0 Comment 0

댓글을 달아 주세요

컴퓨터2007. 10. 25. 11:25

지정한 트랜잭션 코디네이터에 새 트랜잭션을 기록할 수 없습니다

각 서버단위 보안정책에 의해 다음과 같은 오류가 발생을 할수가 있습니다.

Microsoft OLE DB Provider for SQL Server error '8004d00a'
지정한 트랜잭션 코디네이터에 새 트랜잭션을 기록할 수 없습니다.
/xxxx.asp, line 5

원인은 MS DTC(Microsoft Distributed Transaction Coordinator, 이하 MS DTC)의 서버간 통신불가에 의한 데이터베이스 접속불가현상입니다.

MS DTC는 NetBIOS를 이용하여 컴퓨터 이름을 확인할 수 있어야 합니다. 핑(Ping)과 서버 이름을 사용하여 NetBIOS가 이름을 확인할 수 있는지 테스트할 수 있습니다. 클라이언트 컴퓨터는 서버 이름을 확인할 수 있어야 하며 서버는 클라이언트 이름을 확인할 수 있어야 합니다.

즉 보안상 NetBIOS ( UDP 137 ) 와 SMB ( TCP 445 )  를 막았기때문에, 데이터베이스서버와 NetBIOS연결이 불가능하여서 발생을 하는 오류입니다.

NetBIOS 를 활성화하시거나, LMHOST 파일을 수정하여서 사용하여야 한다.



MS 기술문서 KR191168 - INFO: 오류 "-2147168246 (8004d00a)" Failed to Enlist on Calling Object's Transaction
MS 기술문서 KR250367 - INFO: Microsoft DTC가 방화벽을 통해 작동하도록 구성

'컴퓨터' 카테고리의 다른 글

Scripting.Dictionary 사용하기..1  (1) 2007.11.14
LMHOSTS 사용하기  (0) 2007.10.25
지정한 트랜잭션 코디네이터에 새 트랜잭션을 기록할 수 없습니다  (0) 2007.10.25
CainAbel 을 이용한 스푸핑(Spoofing)  (0) 2007.10.17
Webknight 로그의 데이터베이스화 클래스  (2) 2007.10.11
[MSSQL] 엔터프라이즈 메니져의 접속시간을 줄여보자  (2) 2007.10.11
Posted by Zasfe
TAG 8004d00a, ASP, DTC, LMHOST, NetBIOS
Trackback 0 Comment 0

댓글을 달아 주세요