IIS
WebDAV 인증 우회에 대한 취약점
WebDAV 인증 우회에 대한 취약점 마이크로소프트 보안 권고문 971492(http://www.microsoft.com/technet/security/advisory/971492.mspx)이 5월 18일자로 공지되었습니다.Microsoft Internet Information Services (이하 IIS) 의 WebDAV 를 사용하는 경우에 발생할수 있습니다. WebDAV 에서 유니코드(동아시아 언어권에서 주로사용)로 코드를 처리하는 과정에서 발생하는 취약점으로HTTP GET 요청에 "Translate: f" 를 HTTP 해더에 추가하여서 WebDAV폴더로 파일을 업로드 하는 방법 입니다. 다음에 해당하시는 분들에게 영향을 줄수 있는 내용입니다.- IIS 5.x, IIS 6 의 버전을 사용- WebD..
IIS 파일확장자 우회취약점은 IIS6 에서만 동작합니다.
많은 보안관련 사이트에서 IIS 의 파일확장자 우회를 통한 취약점에 대한 이야기가 많습니다.IIS 6(window2003) 이하 버전 에서만 이러한 현상이 벌어진다고 하는데, 테스트를 해보니 그렇지않았습니다. IIS5 (window 2000) 버전에서는 이러한 증상이 해당되지 않았습니다. 하지만 IIS 6 에서는 tt.asp 의 파일명을 tt.asp;.jpg 로 변경하더라도 ASP 파일처럼 동작을 합니다. 닷넷파일은 확장자를 인식하지 못하였습니다. 참조MS IIS 파일 확장자 처리오류 취약점 주의 - 인터넷침해대응센터 추가. 2010.01.02 기능상의 버그일뿐 취약점은 아니라고 합니다. 참조 Public disclosure of IIS security issue with semi-colons in UR..
실버라이트사용을 위한 확장자 web.config에 등록해서 사용하기
마이크로소프트 실버라이트(Microsoft Silverlight. 이하 실버라이트)는 마이크로소프트에서 제공하는 웹브라우저 플러그인입니다. 웹브라우저 플러그인은 운영체제(XP, VISTA, 맥, 리눅스)에 상관없이 사용이 가능하도록 플래시와 퀵타입처럼 별도의 프로그램없이(실제로는 플러그인으로 설치됩니다.) 웹브라우져내에서 사용자가 쉽게 사용하도록 만든 도구입니다. 하지만 실버라이트는 특정 확장자를 사용합니다. 그렇기 때문에 IIS 6.0 이후버전에서는 확장자를 등록하고 사용을 하여야합니다. IIS 의 MIME 등록하는 방법은 위즈님의 실버라이트 xap 실행이 안 된다면, IIS MIME 확인 을 참고하시기 바랍니다. 다음은 web.config 파일을 이용해서 확장자를 등록하는 방법입니다. Web.Conf..
웹해킹 파일 분석
웹해킹 파일을 분석할때에는 반드시 외부 네트워크와는 분리된 테스트 서버에서 작업을 하시기 바랍니다. 예전에 발견한 웹해킹파일에서 내용을 분석하던 중에 iframe 태그를 삽입시키는 경우가 있기때문입니다. Virtual PC, VirtualBox, Vmware 등을 이용한 가상화 머신을 이용하시는 방법을 권장하여 드립니다. 제가 확인한 소스의 주요은 다음과 같습니다. 파일 브라우징 및 특정 파일 검색 네트워크 정보 출력 프로세스 정보 출력 서비스 정보 출력 컴퓨터 이름 출력 컴퓨터 계정정보 출력 DB 접속 및 SQL 쿼리 디스크 용량 / 이름 / 타입 정보 출력 IIS 버젼 및 스크립트 버젼정보 출력 FileSystemObject 등의 개체 생성 테스트 터미널서비스 포트번호 / 자동로그인 정보 출력 서버내..
웹나이트가 2.2 로 업데이트 되었습니다.
웹나이트가 2.2 로 업데이트 되었습니다. 이번 버젼의 특징은 다음과 같습니다. - IIS7 지원과 64bit 지원 - 레퍼러(referrer)의 SQL 인젝션(injection) 체크 - 내부 실행프로그램 업데이트 설정프로그램(Config.exe, 1.3 -> 1.4 ) 로그리더프로그램(LogAnalysis.exe, 1.1 -> 1.2) 다운로드페이지 [http://www.aqtronix.com/?PageID=99] 이제는 Windows server 2008 에서도 사용이 가능할듯합니다. 모듈형태로 추가가 가능할듯하며, 조만간 윈도우 웹서버의 기본 웹방화벽으로 자리 잡을것 같습니다. ( 이런 무료프로그램이 많았으면 좋겠습니다. ^-^)