WebShell 공격

말그대로 웹사이트를 통해 쉘(shell)을 여는 공격이다.

 

파일 업로드 기능을 이용하여 시스템명령을 내리는 웹프로그램을 업로드 할 수 있는 취약점이다.

 

서버스크립트 예를들어 .jsp .php .asp 인 확장자를 업로드를 시키므로 업로드 시 확장자에 대한 검증을 제대로 해야된다.

 

만약 webshell 설치 성공 시 별도의 인증 없이 시스템에 쉽게 접속이 가능해지므로 주의를 요한다.

 

 

 

예제 Log

POST /zx.asp
HTTP /1.1
Accept */*..
Referer : http://www.secdata.com/zx.asp;.jpg..
Accept-Language : zh-cn
User-Agent : Mozilla/4.0(compatible;MSIE9.0;WindowsNT6.1)..Content-Type:application....
Host : www.secdata.com
Connection : Keep-Alive..

정탐이 된 이벤트다.

 

장비에서 탐지된 구문은 POST /zx.asp , /zx.asp;jpg 일 것이다.

 

.

.asp 파일은 Active Server Page로서 자유롭게 업로드 되서는 안되는 확장자다. 그렇기 때문에 정탐으로 볼 수 있고

 참조자의 구문을 보면 */zx.asp;.jpg...가 있는데 세미콜론을 포함하여 업로드 시 세미콜론 뒤의 구문을 삭제하는 IIS 취약점을 포함하고 있다.

 

 

방안으로는 파일명이나 디렉터리 명을 추측하기 힘든 명으로 수정하여 저장하고 특수문자의 필터링을 수행해야한다.

그리고 FileMatch 지시자를 이용하여 .ph .ine .lib 등의 Server Side Script 파일에 대한 직접 URL 호출을 금지시킨다.