0x02 analysis2012.01.04 17:18


N사가 당했다고 합니다.

exploitdb에 파이썬으로 된 exploit이 공개된 상태이구요..

http://www.exploit-db.com/exploits/18305/


영향 받는 어플리케이션이 많습니다. (PHP, ASP.Net, Java 등등)


웹서버에서는 Request POST, GET 변수를 hash 구조로 관리한다. 그런데 POST 요청 파라미터수가 상당히 많을 경우(GET 요청은 길이 제한이 있으므로 문제가 되지 않음)에 hash 충돌이 많이 발생하게 되어 CPU load가 상당히 올라가게 된다. 이런 문제는 PHP5, Asp.Net, Java, V8 자바스크립트 엔진 등에서 발생한다.



exe로 된 툴도 유포가 되고 있으니 조만간 더 큰 피해도 있을거라 예상됩니다.



항상 그렇듯이 Follow TCP Stream 해봤습니다.



표현하기에 너무 많은 문자들이 있어 글자가 겹쳐서 출력되고 있습니다. -_-;;

패킷은 다음과 같이 무수히 많은 변수(파라미터)들이 존재하고 있으며 이로 인해 어플리케이션이 뻗는 현상이 발생합니다.




완벽하게 차단은 아직 안되는듯 합니다.

다만, 일시적으로 영향을 줄일 수 있다고 합니다. (아래 참고 링크 참조)


참고)
http://truefeel.tistory.com/205
http://truefeel.tistory.com/206


저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요