Extension Filtering
웹사이트에서 일반적으로 사용하는 확장자가 아닌 취약성이 존재하는 설정파일(dll, conf, ini 등)에 대한 접속 시도를 차단해 고객 웹사이트 보호한다.
공격 및 탐지 방식
- 웹 브라우저를 통해 사용자가 입력한 URL의 웹 컨텐츠 확장자를 파싱하여 접근 가능하도록 설정된 확장자 이외의 접근은 차단하는 역할을 한다.
- 대부분의 접근 가능한 웹서버에서 외부공개를 위한 파일 및 디렉토리에 대한 접근권한이 익명의 사용자에게도 허용되어 있다면 시스템에 중요한 파일들(시스템 파일, 라이브러리, 패스워드 파일등)의 접근가능은 악의적인 공격의 대상이 되고 있다.
- Extension Filtering 탐지룰 설정시 주의 할 점은 먼저 웹 서버마다 사용되는 파일 형식이 달라지므로 상황에 맞게 설정 하여야 한다.
- 따라서 웹 서버의 OS종류(Windows, Linux, Unix), HTTP 서버 종류(Apache, IIS), Active Page 언어(PHP, Perl, ASP, JSP)등에 따라 적정하게 설정을 하여야 한다.
- 위의 예는 /_vti_bin/owssvr.dll 에 대한 접근이며 이는 과거 Nimda와 같은 웜이나 트로이 목마 프로그램에서 스캐팅 용도로 사용되었습니다.
- 현재 대부분 IE 브라우저의 툴바에서 [토론]을 선택했을 경우 생성되는 요청으로 피해를 끼치지는 않습니다.
