Classic ASP executando sob o arquivo .cer IIS7.5

Navegue suas respostas
1

Não tenho certeza se esse é o comportamento padrão, mas em uma de nossas caixas do Windows Server 2008 R2 percebemos que um de nossos sites tem arquivos .cer em uma pasta chamada / scripts.

O arquivo .cer contém um script ASP que permite ao intruso navegar no sistema de arquivos INTEIRO no servidor, excluir arquivos, criar arquivos, etc.

Identificamos o problema de segurança de como esse arquivo conseguiu ser criado (bug de segurança do FCKEditor), mas ao navegar para:

link

O arquivo .cer é executado como um script ASP.

Após verificar os mapeamentos do manipulador, vemos que o .cer é mapeado para% windir% \ system32 \ inetsrv \ asp.dll, o que explica por que o script ASP está sendo executado.

Este comportamento padrão é para o IIS 7.5 e, certamente, isso é um risco de segurança?

    
por Robcyb 15.02.2011 / 11:27

1 resposta

1

Esse mapeamento está lá por padrão no IIS7. Ambos * .asp e * .cer são mapeados para asp.dll. Eles são as únicas duas extensões mapeadas para o ASP clássico por padrão.

Não tenho certeza do motivo do padrão .cer. É obviamente algo legado para o ASP Clássico, mas eu pessoalmente não precisei chamar uma extensão .cer diretamente no ASP Clássico.

Com base na sua situação, eu diria que você deve remover o mapeamento .cer e testar se o site ASP clássico ainda funciona. Em caso afirmativo, certifique-se de remover esse mapeamento em todos os seus servidores novos e existentes.

Ele não abre nada mais do que o .asp, contanto que você não deixe arquivos .cer dentro do caminho do seu site. Mas, seu exploit em particular alavancou a extensão .cer, portanto, seria sensato remover qualquer porta possível que eles usariam.

    
por 22.02.2011 / 17:11

Tags

Modelagem de largura de banda baseada em porta redireciona o pedido de internet para um URL específico