Content-Type4 Apache HTTP Server 서비스 거부 취약점 아파치 소프트웨어 재단의 Apache HTTP Server에 영향을 주는 서비스 거부 취약점 발표[1]개요공격자는 HTTP 헤더를 특수하게 조작해 취약한 시스템에 요청할 경우, 서비스 거부를 유발시킬 수 있으므로 사용자의 주의가 요구됨 설명HTTP 헤더의 ‘Content-Type’ 항목 값을 변조해 서비스 거부를 일으킬 수 있는 취약점(CVE-2014-3581)modules/cache/cache_util.c의 cache_merge_headers_out 함수에서 부적절한 코드로 인한 서비스 거부 취약점 발생 해당 시스템영향 받는 소프트웨어Apache HTTP 서버 2.4.10 및 이전 버전 해결방안Apache HTTP 서버 2.4.10 및 이전 버전 사용자Apache 소스코드 중 cache_util.c를 .. 2014. 10. 13. Apache Tomcat 서비스 거부 취약점 보안업데이트 개요아파치 소프트웨어 재단은 Apache Tomcat에 영향을 주는 서비스 거부 취약점을 해결한 보안 업데이트를 발표[1][2]공격자는 HTTP 헤더를 특수하게 조작해 취약한 시스템에 요청할 경우, 서비스 거부를 유발시킬 수 있음 설명HTTP 헤더의 ‘Content-Type’ 항목 값을 변조해 서비스 거부를 일으킬 수 있는 취약점(CVE-2014-0050) 해당 시스템영향 받는 소프트웨어Apache Tomcat 7.0.0 - 7.0.50 버전Apache Tomcat 8.0.0-RC1 - 8.0.1 버전 해결 방안Apache Tomcat 7.x 버전 사용자Apache Tomcat 버전을 7.0.51 버전으로 업그레이드Apache Tomcat 7.x 버전 사용자Apache Tomcat 버전을 8.0.2 버전.. 2014. 2. 10. 인코딩을 통한 XSS필터 회피 기술 HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 .. 2009. 10. 28. 서블릿 응답 헤더(Response Header) 서블릿에서 응답 헤더들을 설정하는 방법 - 응답헤더는 클라이언트에게 문서 내용을 한글자라도 보내기 전에 설정해야 한다. - 일반적으로 setHeader("","") 로 사용한다. - 서블릿 버전2.1에서는 헤더를 설정하면 바꿀수 없었다 같은 이름으로 헤더를 설정하더라도 이전것은 유지되면서 새로운 해더가 추가되는 형식이 였다. 하지만 서블릿 버전 2.2 에서는 setHeader를 같은 이름으로 하면 덮어쓰기 형식으로 지원하며, 같은 이름으로 추가는 addHeader("","")로 하면 된다. Accept-Range - HTTP1.1 에서 추가 - 클라이언트가 보낸 Range요청헤더를 받아들 일 수 있는지의 여부를 뜻한다. - 받아들 일 수 있다면 byte 단위 지정 아니면 none을 지정한다. Age - .. 2009. 8. 5. 이전 1 다음 728x90