[stalk:00405] Re: IIS CGI Filename Decode Error Vulnerability

[Shin <shin@xxxxxxxxx>]

In article <20010516141221.E636.TAKAGI@xxxxxxxxx>
TAKAGI, Hiromitsu wrote:
>%%35c -> %5c -> \
>%%35%63 -> %5c -> \
>%25%35%63 -> %5c -> \
>
>ですね。二度だけであるなら有限個の静的パターンで表現できそうですね。

でもなぞのUTF-8等も組み合わせられるんですよね。
# 去年話題になった。詳しくないですが^^

それが塞がれていても、デコードすると同一の文字列になるようなものを
冗長に表現する方法はやたら存在するし、リクエストで弾く手法はやはり
厳しいです。
取りあえずUTF-8を抜きにして考えても'\'を弾きたいだけで

%,%25  *  5,%35  *  c,C,&63,%43
  2         2           4

で16通りですし(これすら漏れがあるかも)、これが2文字以上のシーケンス
を検出しなきゃならないケースだったりしたら…。

WebServer自体がCGI実行直前部分にフックを組み込んでおいてくれて、
最終的な実行ファイルをユーザがチェックして弾く処理を組み込むこと
が出来るようになっていればいいのですが…。
# 設定で特定ディレクトリ以下のみに権限を与える等とするのも
# WebServerのバグの前では無力。もちろんCGI実行をフックを経由しない
# で行うようなバグがあれば前記方法でもダメではありますが、そこは1ヶ
# 所にまとめられるはず。と、得意な理想論を言ってみるテストです_o_。


-- 
木下 信＠ひらつか
http://www.sk-jp.com/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　　ふとした疑問ありますか？　　　　　　　　　　　
　　 http://www.infoseek.co.jp/GHome?pg=gn_top.html&svx=971122