MS IIS FTP 7.X remote code execution vulnerability detection rule (CVE-2010-3972)

CVE-2010-3972

poc : http://www.exploit-db.com/exploits/15803/

 

윈도우 7 또는 윈도우 2008 서버의 IIS FTP 7.5  에 영향을 미침

 

데이터가 256이상이고 0xff0xff….0xff0xff가 있는경우를 공격으로 간주한다.

 

alert tcp any any -> any $FTP_PORT (flow:established, to_server; dsize:>256; content:”|ffff|”; pcre:”/\xff\xff.+\xff\xff/”;)

 

Advertisements

About this entry