English

◀◁ 뒤로 취약점ID 22257 위험도 20 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 IIS 서버는 Cookie 사용 노출 결함이 있는 ASP 스크립트를 가지고 있다. Active Server Pages (ASP)는 HTML 페이지들이 서버 상에서 동적으로 생성될 수 있도록 해 주는 IIS의 확장이다. ASP 엔진은 특별한 쿠키(Cookie) 값들이 검색될 때 적절하게 처리되지 않는다. 이 현상은 웹 응용 프로그램들부터 중요한 정보를 악의적으로 수집하는데 사용될 수 있다. 즉, '=' 문자로 설정된 Cookie를 보낼 때, 주어진 ASP 페이지가 Cookie를 실제 처리한다면, IIS 서버는 에러로 응답하거나 사용되는 .inc 파일의 정보가 노출되게 된다. 이는 원격지의 공격자가 Include 파일의 이름을 알 수 있게 해 준다. 그리고 또한 쿠키들을 처리할 응용 프로그램들을 파악해 내는데 사용될 수도 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/362374 http://support.microsoft.com/?id=834452 * 영향을 받는 플랫폼: Microsoft IIS Server Any version Microsoft Windows Any version 해결책 에러를 일으킨 스크립트에 관한 정보들을 노출하지 않는 사용자가 구성한 에러 페이지를 반환하도록 영향을 받는 IIS 서버를 설정하여야 한다. 사용자가 구성한 에러 페이지들을 만드는 방법에 관한 정보는 http://support.microsoft.com/?id=834452 에서 '834452 - Best practices with custom error pages' 에 있는 'References' 섹션으로부터 참조할 수 있다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)