9.16(수) 커피닉스 이야기 - IIS 6 파싱 취약점 등

[범냉이]

[ 보안 ]

1. IIS 6.0 확장자 파싱 취약점

- http://www.whoisweb.net/board/view.php?ch=customer&id=notice&no=94645


인용:

세미콜론(;)을 포함한 웹페이지 요청시 파싱 대상이 세미콜론(;) 앞쪽만 인식하여 웹스크립트로 동작함 1) 파일 업로드 시 파일명에 세미콜론(;)이 필요 하지 않다면 파일명 검사 시 세미콜론(;)에 대한 필터링을 적용함 2) 업로드 파일을 위한 디렉토리에는 실행 권한을 제거 해야 하며 업로드 된 파일이름을 임의로 변경하여 저장해야 함 3) 첨부파일에 대한 검사는 반드시 Server side Script에서 구현해야 함 4) 정식 Patch 발표 시 즉시 업데이트


- asp.dll 세미콜론(;)에서 파싱하지 못하는 이유에 대하여 궁금.
- Redirection Using Wildcards( http://xfactor.tistory.com/archive/20080917 ) 에서 세미콜론(;)을 구분자로 사용하는데 이에 대한 버그가 아닌지 생각해 봄.( 범냉이의 믿지 못할 의견 )

2. 제2회 DDoS 공격탐지 및 차단전략 세미나 참관 소견.( http://www.comtrue.com/conference/fair200909/program.html )

- DdosCop 는 linux 기반에 엔진 탑재 해서 사용하는것으로 보임(소견)

: core 2 quad 사용, kernel 단에서 모든 것을 처리
: syn, syn+ack, fin 공격 차단, CC ATTACK 경우는 http 임계치를 설정, 사용하기 전에 학습 시간 필요.
: Inbound 1G 장비가 4천만원.(인트루가드 200M 짜리가 작년에 7천정도)
: 자세한 사항은 세미나 문서 참고. 필요한 분은 null@wisecamp.com 으로 메일 요청. 9월달만 가능

- 최근 DDoS 트랜드는 CC ATTACK.(DdosCop)

: L7단은 proxy로 처리
: 보호하는 서버의 임계치(threshold) 초과시 일정 시간 차단.
: 많은 트래픽(http)을 일일이 http 분석하려면 상당한 부하가 예상되며, 기본 Traffic bandwidth감시와 Netflow sampling도 을 해야 부하 적을거라고 생각함. DdosCop는 어떻게 동작하는데 명확하지 않음.

- 세미나의 백미는 KAU 교수님 시간. 수학의 vector 알고리즘(?)을 이용한 3D 그래프 매우 멋있음.

[ 일반 ]

1. PHPFest 2009 사전등록( http://new.imaso.co.kr/seminars/phpfest2009 )

- "KDE Academy" 같은 컨퍼런스로 발전하기를 기대. 발전하는 PHPKorea를 응원해 주세요!
- 정진호님이 야후 pipe로 매쉬업 개발 발표. yahoo pipe와 YQL은 자주 발표해오시던거라 만족스러운 발표될 거라 기대.(사정상 발표자 큐브리드 남재우씨로 변경.)

2. Windows 에서 사용하는 Open Source.

- putty, wireshark, jateon, pidjin, heidisql,7z, notepad++, openoffice
- 다른 분들은 어떨지 궁금. PC에서 쉽고, 편하게 사용할 수 있는 오픈소스들 모아보는것도 재미 있을 듯.(사견)

※ 참여자 : sCag, 좋은진호, 티니, 범냉이, kaien, aqua 등