SSI 취약점

WINDOWS/Etc 2006/08/01 10:06
명령어가 수행될 수 있는 웹 관련 취약점은 include 취약점 SSI 취약점 등을 들수 있습니다.

또한 Web에서 Shell을 수행 할 수 있는 이른바 웹 셀을 업로드 하여 실행 시켰을 가능성도 있습니다. include(공격자 서버의 asp파일을 include시켜 실행시키는 취약점) 나 Upload를 이용하여 명령어를 수행 하는 경우는 대부분 웹 페이지 변조로는 이용되지 않고 다른 공격을 위해서 사용하기 때문에 웹 페이지 변조의 경우 SSI 취약점이 가장 많이 이용되고 있습니다.

SSI를 Disable 시키시는 방법은 레지스트리에서 다음과 같이 하시면 됩니다.

HKLM\System\CurrentControlSet\Services\W3SVC\Parameters에서 SSIEnableCmdDirective 엔트리를 찾아 0으로 설정해서 SSI를 비활성화 시키실 수 있습니다.

또한 SQL Injection 취야점이 존재하고, Web Server와 DB 서버가 동일 서버에서 수행 되도 이런 공격이 가능 할 수 있습니다.

가장 좋은 방법은 IIS WebLog에서 agarrame_el_pico.html 으로 검색 하셔서 어떻게 이 페이지가 생성되었는지를 확인해 보시는 것이 좋을 것 같습니다. Master xp_cmd 라는 단어와 함께 사용되었다면 SQL Injection 취약점을 통해서 실행된 것으로서 위의 xp_cmd 구문이 삽입된 인자값에 replace("'", "\'")"; 등으로 특수문자 처리를 해주시면 됩니다.

만약 <!--cmd 이런식으로 구문이 존재한다면 이것은 SSI 를 통해 공격을 수행 하였다고 판단 할 수 있습니다.
tags :
Comment 0

Write a comment