2009-03-25 セキュリティ情報 - UTF-8を利用したIDS/IPS/WAFの検知回避技術(情報元のブックマーク数) IT セキュリティ ASP.NET 1.1で不正なUTF-8シーケンスを除去する絡みで、WAFとかIDSを回避できてしまう、仕様というか脆弱性らしい 発見された問題 下記条件の場合、ASP.NETでも類似の回避手法が存在することが分かった。 ASP.NET 1.1を利用している(ASP.NET 2.0以上の場合は問題なし) HTTPリクエストの文字エンコーディングとしてUTF-8を利用している この場合に、「不正なUTF-8シーケンス」をASP.NETは除去することが分かった。具体的には、「DEC%C0LARE」のような入力に対して「%C0L」はUTF-8として不正なので、「%C0」のみを除去する。その結果、ASP.NETスクリプトが受け取る入力文字列は「DECLARE」となる。 http://www.hash-c.co.jp/info/20090323.html 関連記事 ASP.NET 1.1に新たなSQLインジェクションの可能性,IDS/IPS/WAFを素通り:ITpro