[port139:00705] Re: FYI: SANS In stitute レポート

["tomatell" <tomatell@xxxxxxxxxxxxx>]

こんにちは。t0matellです。

> -----Original Message-----
> From: port139-owner@xxxxxxxxxxxxx [mailto:port139-owner@xxxxxxxxxxxxx]On
> Behalf Of Hideaki Ihara
> Sent: Friday, October 05, 2001 1:28 PM
> To: port139@xxxxxxxxxxxxx
> Subject: [port139:00703] Re: FYI: SANS Institute レポート
> 
> 
>  -最初はクエリー文字列長の制限でブロックされる
>  -文字列長を長くしても、ハイビット シェルコードでブロックされる
> 
> という感じでした。以前ここに出てましたように、日本語ファイル名は使えま
> せんがまぁあまりこれが問題なることはないでしょうね。

SecureIIS Webで、ハイビットシェルコードからの保護を有効にしますと、基本的に
URLのパス指定に必要な文字（/や.等)とアルファベットの「A - Z」までの文字のみ
通します。当然NIMDA等も使用するエスケープコードの問題「%255c」等もありま
すので、「ハイビット」シェルコードの保護を有効にすることは、セキュリティ的にも
非常に好ましいと思います。但し、イントラで使用するサードパーティのグループウェ
アやスクリプトでは、認証のユーザ名等を日本語を使用したり、WEBメール等で日
本語を使用しますので、まず間違いなく「SecureIIS Security Alert」のページが表示
されブロックされることは避けられないでしょう。プロキシを使用したサーバにSecureIIS
を起動した場合も、Hotmailなどを参照して同じ現象が起きます。日本語を使用するサ
イトでは、これ無効にすることを推奨いたします。日本語版のリリースでは、ハイビット
シェルコードの保護を外すことが考えられております。また、これによる弊害ですが、先
の「%255c」のエスケープコードの解析問題を利用したexploitは、コマンドシェルを呼び
出すものですので、デフォルトで「cmd.exe」が、「キーワードフィルタ」に登録されており
ます。またCodeRedでは、まずURLの長さでブロックされますので問題はないと考えて
おります。

参考まで。

t0matell

black-sox WebScanner available for a test at:
http://www.black-sox.com