'IIS'에 해당되는 글 12건

  1. 2009.06.10 Microsoft 보안업데이트(MS09-018 ~ MS09-027)
  2. 2009.05.19 flv 동영상 웹서버 MIME 형식 추가등록
  3. 2008.12.30 [WebKnight] 웹나이트 룰 적용 이후 결과와 주저리~ (2)
2009.06.10 11:43

Microsoft 보안업데이트(MS09-018 ~ MS09-027)

■ 개 요

MS社는 6월 10일 MS 윈도우 및 Office 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 10건(긴급 6, 중요 3, 보통 1)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.

* 이번 업데이트에는 지난 5.29 공개된 MS DirectX의 취약점에 대한 패치가 포함되지 않았음에 따라 "이메일에 첨부 또는 링크된 QuickTime 동영상 파일(.mov)에 대해 작성자 확인후 열람" 등 유의하여 주시기 바랍니다.



■ 보안 업데이트에 포함된 취약점 및 관련 사이트

1
. Active Directory 취약점으로 인한 원격코드 실행 문제점(긴급, 971055)

o 설 명
Active Directory에 원격코드 실행 취약점이 존재하여 공격자는 취약한 시스템에 조작된 LDAP 또는 LDAPS 요청 패킷을 전송하여 해당 시스템에 대해 완전한 권한 획득이 가능하다.

* Active Directory : 사용자, 그룹, 보안 서비스, 네트워크 자원 등을 중앙에서 관리하는 기능을 제공
* LDAP(Lightweight Directory Access Protocol) : 인터넷 디렉토리를 연결, 검색, 수정하는데 사용하는 프로토콜
* LDAPS(LDAP over SSL) : SSL 채널을 이용하는 LDAP으로 암호화 통신시 사용

o 관련 취약점
  - Active Directory Invalid Free Vulnerability(CVE-2009-1138)
  - Active Directory Memory Leak Vulnerability(CVE-2009-1139)

o 영향 받는 소프트웨어
  - Active Directory on Microsoft Windows 2000 Server SP4
  - Active Directory Application Mode on Windows XP Professional SP2, SP3
  - Active Directory Application Mode on Windows XP Professional x64 Edition SP2
  - Active Directory on Windows Server 2003 SP2
  - Active Directory Application Mode on Windows Server 2003 SP2
  - Active Directory on Windows Server 2003 x64 Edition SP2
  - Active Directory Application Mode on Windows Server 2003 x64 Edition SP2
  - Active Directory on Windows Server 2003 SP2 for Itanium-based Systems

o 영향 받지 않는 소프트웨어
  - Active Directory on Windows Server 2008 for 32-bit Systems, SP2
  - Active Directory Lightweight Directory Service on Windows Server 2008 for 32-bit Systems, SP2
  - Active Directory on Windows Server 2008 for x64-based Systems, SP2
  - Active Directory Lightweight Directory Service on Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-018.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-018.mspx

2. Internet Explorer 누적 보안업데이트(긴급, 969897)

o 설 명
Internet Explorer에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Race Condition Cross-Domain Information Disclosure Vulnerability(CVE-2007-3091)
  - Cross-Domain Information Disclosure Vulnerability(CVE-2009-1140)
  - DHTML Object Memory Corruption(CVE-2009-1141)
  - HTML Object Memory Corruption(CVE-2009-1528)
  - Uninitialized Memory Corruption Vulnerability(CVE-2009-1529)
  - HTML Objects Memory Corruption Vulnerability(CVE-2009-1530)
  - HTML Object Memory Corruption Vulnerability(CVE-2009-1531)
  - HTML Object Memory Corruption Vulnerability(CVE-2009-1532)

o 영향 받는 소프트웨어
  - Internet Explorer 5.01 SP4 on Microsoft Windows 2000 SP4
  - Internet Explorer 6 SP1 on Microsoft Windows 2000 SP4
  - Internet Explorer 6 on Windows XP SP2, SP3
  - Internet Explorer 6 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 6 on Windows Server 2003 SP2
  - Internet Explorer 6 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 6 on Windows Server 2003 SP2 for Itanium-based Systems
  - Internet Explorer 7 on Windows XP SP2, SP3
  - Internet Explorer 7 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 7 on Windows Server 2003 SP2
  - Internet Explorer 7 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 7 on Windows Server 2003 SP2 for Itanium-based Systems
  - Internet Explorer 7 on Windows Vista, SP1, SP2
  - Internet Explorer 7 on Windows Vista x64 Edition, SP1, SP2
  - Internet Explorer 7 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Explorer 7 on Windows Server 2008 for x64-based Systems, SP2
  - Internet Explorer 7 on Windows Server 2008 for Itanium-based Systems, SP2
  - Internet Explorer 8 on Windows XP SP2, SP3
  - Internet Explorer 8 on Windows XP Professional x64 Edition SP2
  - Internet Explorer 8 on Windows Server 2003 SP2
  - Internet Explorer 8 on Windows Server 2003 x64 Edition SP2
  - Internet Explorer 8 on Windows Vista, SP1, SP2
  - Internet Explorer 8 on Windows Vista x64 Edition, SP1, SP2
  - Internet Explorer 8 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Explorer 8 on Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-019.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-019.mspx

3. IIS 취약점으로 인한 권한상승 문제점(중요, 970483)

o 설 명
IIS에 원격코드 실행 취약점이 존재하여 공격자는 악의적으로 조작된 HTTP 요청을 전송하여 취약한 시스템에 접근할 수 있는 권한을 얻을 수 있다.

*
IIS(Internet Information Services) : MS社에서 제공하는 웹서버 프로그램

o 관련 취약점
  - IIS 5.0 WebDAV Authentication Bypass Vulnerability(CVE-2009-1122)
  - IIS 5.1 and 6.0 WebDAV Authentication Bypass Vulnerability(CVE-2009-1535)

o 영향 받는 소프트웨어
  - Internet Information Services 5.0 on Microsoft Windows 2000 Server SP4
  - Internet Information Services 5.1 on Windows XP Professional SP2, SP3
  - Internet Information Services 6.0 on Windows XP Professional x64 Edition SP2
  - Internet Information Services 6.0 on Windows Server 2003 SP2
  - Internet Information Services 6.0 on Windows Server 2003 x64 Edition SP2
  - Internet Information Services 6.0 on Windows Server 2003 SP2 for Itanium-based Systems

o 영향 받지 않는 소프트웨어
  - Internet Information Services 7.0 on Windows Vista, SP1, SP2
  - Internet Information Services 7.0 on Windows Vista x64 Edition, SP1, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for 32-bit Systems, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for x64-based Systems, SP2
  - Internet Information Services 7.0 on Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-020.mspx

4. MS Office 엑셀 취약점으로 인한 원격코드실행 문제점(긴급, 969462)

o 설 명
MS Office 엑셀에서 비정상적인 레코드가 포함된 엑셀 파일을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 엑셀 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Record Pointer Corruption Vulnerability(CVE-2009-0549)
  - Object Record Corruption Vulnerability(CVE-2009-0557)
  - Array Indexing Memory Corruption Vulnerability(CVE-2009-0558)
  - String Copy Stack-Based Overrun Vulnerability(CVE-2009-0559)
  - Field Sanitization Memory Corruption Vulnerability(CVE-2009-0560)
  - Record Integer Overflow Vulnerability(CVE-2009-0561)
  - Record Pointer Corruption Vulnerability(CVE-2009-1134)

o 영향 받는 소프트웨어
  - Microsoft Office 2000 SP3
  - Microsoft Office XP SP3
  - Microsoft Office 2003 SP3
  - 2007 Microsoft Office System SP1, SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office 엑셀 Viewer 2003 SP3
  - Microsoft Office 엑셀 Viewer
  - Microsoft Office Compatibility Pack for Word, 엑셀, and PowerPoint 2007 File Formats SP1, SP2
  - Microsoft Office SharePoint Server 2007 SP1, SP2 (32-bit editions)
  - Microsoft Office SharePoint Server 2007 SP1, SP2 (64-bit editions)

o 영향 받지 않는 소프트웨어
  - Microsoft Office Converter Pack
  - Works 8.5
  - Works 9

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-021.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-021.mspx

5. MS 윈도우 Print Spooler 취약점으로 인한 원격코드실행 문제점(긴급, 961501)

o 설 명
MS 윈도우의 Print Spooler에서 RPC 요청을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 네트워크 패킷을 전송하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Buffer Overflow in Print Spooler Vulnerability(CVE-2009-0228)
  - Print Spooler Read File Vulnerability(CVE-2009-0229)
  - Print Spooler Load Library Vulnerability(CVE-2009-0230)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 Server SP4
  - Windows XP Professional SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 SP2 for Itanium-based Systems
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-022.mspx

6. Windows Search 취약점으로 인한 정보유출 문제점(보통, 963093)

o 설 명
Windows Search 4.0의 파일 미리보기 기능에 취약점이 존재하여 공격자에 의해 악의적으로 제작된 HTML 파일이 검색 결과로 보여질 경우 취약한 시스템의 정보가 노출될 수 있다.

* Windows Search: PC에 저장되어 있는 문서 등 각종 파일을 검색하고 미리 볼 수 있도록 하는 기능을 제공

o 관련 취약점
  - Script Execution in Windows Search Vulnerability(CVE-2009-0239)

o 영향 받는 소프트웨어
  - Windows Search 4.0 on Windows XP SP2, SP3
  - Windows Search 4.0 on Windows XP Professional x64 Edition SP2
  - Windows Search 4.0 on Windows Server 2003 SP2
  - Windows Search 4.0 on Windows Server 2003 x64 Edition SP2

o 영향 받지 않는 소프트웨어
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-023.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-023.mspx

7. MS Works 변환기 취약점으로 인한 원격코드실행 문제점(긴급, 957632)

o 설 명
MS Works 변환기에서 Works(.WPS) 파일을 처리하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 Works 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약 시스템에 대해 완전한 권한 획득이 가능하다.

* MS Works : MS Office에 포함된 문서 작성 프로그램(국내 未출시)

o 관련 취약점
  - File Converter Buffer Overflow Vulnerability(CVE-2009-1533)

o 영향 받는 소프트웨어
  - Microsoft Office Word 2000 SP3
  - Microsoft Office Word 2002 SP3
  - Microsoft Office Word 2003 SP3 with the Microsoft Works 6?9 File Converter
  - Microsoft Office Word 2007 SP1
  - Microsoft Works 8.5
  - Microsoft Works 9

o 영향 받지 않는 소프트웨어
  - Microsoft Office 2007 SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office Word Viewer 2003 SP3
  - Microsoft Office Word Viewer SP1, SP2
  - Microsoft Office Compatibility Pack SP1, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-024.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-024.mspx

8. 윈도우 커널 취약점으로 인한 권한상승 문제점(중요, 968537)

o 설 명
윈도우 커널에서 입력값을 검증하는 과정 등에 권한상승 취약점이 존재하여 해당 취약점 공격에 성공한 공격자는 취약한 시스템의 커널 모드에서 악성코드 등 임의의 코드를 실행시킬 수 있다.

o 관련 취약점
  - Windows Kernel Desktop Vulnerability(CVE-2009-1123)
  - Windows Kernel Pointer Validation Vulnerability(CVE-2009-1124)
  - Windows Driver Class Registration Vulnerability(CVE-2009-1125)
  - Windows Desktop Parameter Edit Vulnerability(CVE-2009-1126)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Windows XP SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 for Itanium-based Systems SP2
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-025.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-025.mspx

9. RPC 취약점으로 인한 권한상승 문제점(중요, 970238)

o 설 명
MS 윈도우의 RPC에서 내부 상태 정보를 업데이트하는 과정에 권한상승 취약점이 존재하여 해당 취약점 공격에 성공한 공격자는 악성코드 등을 실행시켜 취약한 시스템에 대해 완전한 권한획득이 가능하다.

* RPC(Remote Procedure Call) : 네트워크상의 다른 시스템에 있는 프로그램에 서비스를 요청할 때 사용하는 프로토콜

o 관련 취약점
  - RPC Marshalling Engine Vulnerability(CVE-2009-0568)

o 영향 받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Windows XP SP2, SP3
  - Windows XP Professional x64 Edition SP2
  - Windows Server 2003 SP2
  - Windows Server 2003 x64 Edition SP2
  - Windows Server 2003 for Itanium-based Systems SP2
  - Windows Vista, SP1, SP2
  - Windows Vista x64 Edition, SP1, SP2
  - Windows Server 2008 for 32-bit Systems, SP2
  - Windows Server 2008 for x64-based Systems, SP2
  - Windows Server 2008 for Itanium-based Systems, SP2

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-026.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-026.mspx

10. MS Office 워드 취약점으로 인한 원격코드실행 문제점(긴급, 969514)

o 설 명
MS 워드에서 워드 문서를 열람하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 워드 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Word Buffer Overflow Vulnerability(CVE-2009-0563)
  - Word Buffer Overflow Vulnerability(CVE-2009-0565)

o 영향 받는 소프트웨어
  - Microsoft Office Word 2000 SP3
  - Microsoft Office Word 2002 SP3
  - Microsoft Office Word 2003 SP3
  - Microsoft Office Word 2007 SP1, SP2
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - Open XML File Format Converter for Mac
  - Microsoft Office Word Viewer 2003 SP3
  - Microsoft Office Word Viewer
  - Microsoft Office Compatibility Pack SP1, SP2

o 영향 받지 않는 소프트웨어
  - Microsoft Works 8.5
  - Microsoft Works 9

o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-027.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-027.mspx


■ 참고정보
Microsoft Update
http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko


출처 : 국가사이버안전센터

Trackback 0 Comment 0
2009.05.19 09:54

flv 동영상 웹서버 MIME 형식 추가등록

IIS 웹서버 설정

MIME 형식 FLV설정

FLV를 플레이 하려면 꼭 MIME형식을 설졍해줘야함

플래쉬 동영상(FLV 파일 인식, FLV파일)
윈도우 2003 또는 IIS 6.0 이상일 경우 FLV 파일을 헤더 > MIME 형식 추가를 한다.

- 확장명에    .flv
- 형식은      flv-application/octet-stream 



Apache 웹서버 설정

.flv 파일을 아파치에서 스트리밍 하려면 conf/mime.type 에서 다음 항목을 추가 한다.

video/x-flv     flv

 

Trackback 0 Comment 0
2008.12.30 10:18

[WebKnight] 웹나이트 룰 적용 이후 결과와 주저리~

금번 쿠키의 취약점을 악용한 Mass SQL 인젝션과 관련하여 예전에 제가 별도로 운영하고 있는 일종의 허니넷에 웹나이트 룰을 수정하고, 결과를 지켜보는 중이라는 글을 올린 적이 있었습니다.(바로 이글입니다요~) 최근 개인적인 사정으로 그 결과를 정리하지 못하고 있었는데 Zasfe님께서 그 결과가 궁금하다고 하셔서 시간을 내어 일부만 정리하여 포스팅합니다.

'웹나이트 룰 수정 이후 효과가 있는가?'라고 여쭤보신다면 일단 '있습니다.'라고 답변을 드릴 수 있을 것 같습니다.

단, 블로그에 포스팅하지 않은 많은 부분이 추가되고, 수정되었습니다.(귀차니즘 때문에… 헐퀴~) 이미 적용되어 있었던 것도 있었습니다만, 제가 별도로 공개하거나 포스팅한 적은 없었기 때문에 같이 정리합니다.

많은 분들이 알고 계시다시피 단순히 웹나이트만 설치한다고 해서 외부 웹 해킹으로부터 운영 중인 웹사이트가 완벽하게 안전한 것은 아닙니다. '커스터마이징'이 매우 중요합니다.

거두절미하고! 금번 Mass SQL 인젝션과 관련하여 별도로 어루만져(?) 주셔야 할 웹나이트 룰들을 정리합니다.

아, 일전에 '그냥 웹나이트 룰을 제공해 줄 수 없냐?'라는 의견이 제 메일로 수신된 적이 있었습니다. 죄송하게도 제 개인적으로 테스트하고 있는 룰이라면 얼마든지 제공해 드릴 의사가 있습니다만, 어쩌다 보니 회사에서 운영 중인 서비스에 채택되어 외부에 공개되었을 경우, 보안 상 문제가 발생할 여지가 있습니다. 그리고 그밖에 내부적인 여러가지 요인으로 인해 룰 자체를 직접적으로 제공해 드리기 어려울 것 같습니다. 이 자리를 빌어 양해 부탁 드립니다.

참고로 본 포스트는 현재 가장 많이 사용되고 있는 웹나이트 2.1 버전을 기준으로 작성되었습니다. 아울러 웹나이트 로그에서 문제가 될 수 있는 부분은 보안상 애스터리스크(Asterisk) 기호로 변환 조치하였습니다.

 

1. Headers 섹션

'Deny Cookie SQL Injection' 항목은 기본적으로 필히 체크해 주셔야 합니다. 그리고 'Deny Cookie Encoding Exploits' 항목은 쿠키값에 인코딩된 익스플로잇(공격 코드)이 동봉되어 있을 경우, 접속을 차단해 버리는 옵션인데 국내에서는 문제가 발생할 수 있습니다. 특히 네이버나 다음에서 검색 후, 결과 페이지의 링크를 통해 웹사이트에 접속할 경우, 네이버나 다음에서 넘어오는 쿠키값을 웹나이트에서 익스플로잇으로 오인하여 클라이언트의 접속을 차단시킵니다. 자세한 것은 아래 웹나이트 로그를 참고해 주세요. 제 생각에는 쿠키값이 인코딩만 되어 있으면 접속을 차단시키는 것이 아닌가 싶을 정도로 처리 결과가 그리 좋지 못합니다.

2008-10-29 ; 09:03:21 ; W3SVC*** ; OnPreprocHeaders ; ***.***.***.*** ;  ; GET ; /***/***/***/***/***.gif ; HTTP/1.1 ; Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) ; COUNT%5FCHECK=CKCOUNT=YES; ASPSESSIONIDQSATSSTS=ONEIMHLDBLFKNHAPBGAACLBI; Log_CK=http%3A//search.naver.com/search.naver%3Fwhere%3Dnexearch%26query%3D%25BC%25D2%25B9%25E6%25C0%25DA%25C0%25E7%26sm%3Dtab_she ; BLOCKED: Encoding exploit in cookie (embedded encoding)

다음으로 'Deny Header SQL Injection' 항목을 체크해 주시기 바랍니다. 그리고 앞으로 꾸준히 룰을 관리해 주셔야 할 항목 중 첫번째 녀석인 'Use Denied Header Sequences'입니다. 우선 본 항목에 체크만 해 주시고 자세한 설명은 아래에서 계속 진행하겠습니다.

 

2. Querystring 섹션

'Use Querystring Raw Scan' 항목은 역시 필히 체크해 주셔야 하는 항목 중 하나입다. 몇가지 테스트를 통해 확인해 본 결과, 이 항목이 체크되어 있을 경우, 인코딩된 URL을 통해 전달되는 쿼리문을 일정 부분 다시 디코딩하여 확인합니다. 'Deny Querystring SQL Injection' 항목은 뭐… 굳이 말씀 드리지 않아도 체크하셨으리라 믿습니다. 다음으로 앞으로 꾸준히 룰을 관리해 주셔야 할 항목 중 두번째 녀석인 'Use Denied Querystring Sequences' 입니다. 역시 자세한 설명은 아래에서 계속 하겠습니다. 우선 체크만 해 두시길…

 

3. Global Filter Capabilities 섹션

'Deny Postdata SQL Injection' 항목은 역시 필히 체크해 주시고, 앞으로 꾸준히 룰을 관리해 주셔야 할 항목 중 세번째 녀석인 'Use Denied Post Sequences' 항목도 함께 체크해 주시기 바랍니다. 자세한 설명은… 이제 말씀 드리지 않아도 아시죠?

 

4. SQL Injection 섹션

일종의 SQL 인젝션 키워드 DB라고 할 수 있습니다. 위에서 체크한 항목 중 'Deny 뭐시기 SQL Injection' 등과 같은 항목들은 바로 이 'SQL Injection Keywords'에 등록된 값을 기준으로 하여 입력 받은 또는 전달 받은 값이 SQL 인젝션인지 아닌지를 구분하게 됩니다. 그만큼 중요한 부분이라 할 수 있습니다. 그리고 앞으로 꾸준히 룰을 관리해 주셔야 할 항목 중 네번째 녀석이죠.

 

5. 꾸준한 룰 관리가 생명입니다!

웹나이트는 패턴 매치 방식으로 부정한 접속과 공격 코드를 차단하는 어플리케이션입니다. 따라서 패턴. 즉, 룰 관리가 굉장히 중요합니다. 예를 들어 새로운 중국발 SQL 인젝션 코드가 나왔습니다. 그런데 웹나이트에 그 코드와 관련된 패턴이 전혀 등록되어 있지 않다면 웹나이트가 설치되어 있더라도 그 공격을 전혀 감지할 수 없습니다. 결과적으로 운영 중인 웹사이트에 침해사고가 발생하겠죠.

위에서 앞으로 꾸준히 룰을 관리해 주셔야 할 항목 네 가지를 말씀 드린 바 있습니다. 다시 한 번 정리해 보자면 다음과 같습니다.

- Headers 섹션의 'Use Denied Header Sequences'
- Querystring 섹션의 'Use Denied Querystring Sequences'
- Global Filter Capabilities 섹션의 'Use Denied Post Sequences'
- SQL Injection 섹션의 'SQL Injection Keywords'

차후 새로운 공격 코드의 패턴이 확인되었을 경우, 위의 네 가지 항목에 일제히 추가해 주셔야 합니다. 금번 Mass SQL 인젝션과 관련하여 확인된 패턴은 다음과 같습니다.

- declare (declare 뒤에 공백까지 포함하여 등록합니다.)
- declare @
- dec%lare
- .cn
- set @
- s%et @
- cast(
- ca%st(
- varchar(
- var%char(
- exec (exec 뒤에 공백까지 포함하여 등록합니다.)
- e%xec (e%xec 뒤에 공백까지 포함하여 등록합니다.)
- sysobjects
- 7379736F626A65637473
- syscolumns
- 737973636F6C756D6E73
- sysdatabases
- 737973646174616261736573

힘드시겠습니다만, 이 패턴들을 위에서 말씀 드렸던 네 가지 항목에 추가해 주시기 바랍니다. 아, 물론 가능하시다면 webknight.xml 파일을 직접 수정하셔도 무방합니다.

그리고 웹나이트 룰이 수정되셨다면 매번 말씀 드리고 있는 부분이지만, 반드시 최소 5일 간은 웹나이트 로그를 정기적으로 확인하셔서 정상적인 접속이 웹나이트 룰에 의해 차단되고 있지 않은지 확인하셔야 합니다.

이상입니다. 추가적으로 궁금하신 사항이나 질문이 있으시다면 댓글로 부탁 드립니다.

끝으로 한 가지 덧 붙이자면 웹나이트를 비롯한 웹 방화벽은 절대 웹 해킹을 100% 전면 방어할 수 없습니다. 어디까지나 차선책일 뿐입니다. 근본적인 해결 방법은 웹 취약점을 야기시키는 웹소스를 확인하여 보완하는 것임을 다시 한 번 강조하여 말씀 드립니다.

좋은 주말 되시길 바라며…


출처 : http://nice19.net/blog/index.php/archives/434


Trackback 0 Comment 2
  1. 푸른늑대 2009.01.07 14:05 address edit & del reply

    좋은 정보 감사합니다. 그리고 질문이 좀 있는데요^^
    웹나이트 적용 후 홈페이지의 메뉴들이 작동을 안하는데요.(스크립트로 되어 있습니다.)
    global filter capabilites에서 <script를 빼야 하는지요? 이건 아닌거 같구 해서요.
    혹시 방법을 아시는지요?
    읽어주셔서 감사합니다.

  2. Favicon of https://blog.pages.kr 날으는물고기 2009.01.13 14:24 신고 address edit & del reply

    먼저 웹나이트에서 남기는 로그를 확인해 보셔야 겠지요.
    해당 로그에 보시면 정상적인 것인데 차단된 경우가 있는지 확인해 보시고
    정상적인 접근이 차단된 경우를 찾으셔서 해당 차단된 룰을 수정해 주시면 됩니다. ^^