iis6 은 파싱 취약점을 가지고 있습니다.
";" 세미콜론 부분을 인식하여 앞부분의 확장자를 체크함으로써 발생하는 취약점을 말합니다.
보통 웹 개발자들이 파일 업로드할 시에 파일 확장자 필터링의 경우 파일명의 제일 끝 부분을 체크하는 경우가 많기 때문에 정상적으로 이미지 파일인 jpg, gif 로 인식하지만, 웹 상에서 열게 되면 ";" 부분까지만 인식하여 실행가능한 asp 파일로 실행하게 되는 취약점 입니다.
asp 게시판에서 파일 업로드 부분의 확장자 필터링 루틴을 위의 방법을 이용하여 우회가 가능하기 때문에 공격자가 업로드 및 실행을 통해서 웹 서버 시스템의 권한을 가질 수 있습니다.
