欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

微軟IIS6漏洞:服務(wù)器敏感信息易被竊

  發(fā)布時間:2009-05-24 18:25:00   作者:佚名   我要評論
近日,安全專家對使用微軟Internet信息服務(wù)IIS 6的管理員發(fā)出警告,聲稱Web服務(wù)器很容易受到攻擊并暴露出密碼保護的文件和文件夾。   據(jù)悉,基于WebDAV協(xié)議的部分進程命令中存在這種漏洞。通過給Web地址添加一些Unicode字符,黑客就可以訪問這些敏感文件——這
近日,安全專家對使用微軟Internet信息服務(wù)IIS 6的管理員發(fā)出警告,聲稱Web服務(wù)器很容易受到攻擊并暴露出密碼保護的文件和文件夾。
  據(jù)悉,基于WebDAV協(xié)議的部分進程命令中存在這種漏洞。通過給Web地址添加一些Unicode字符,黑客就可以訪問這些敏感文件——這些文件一般都有系統(tǒng)密碼保護。另外,該漏洞也可以被用來給服務(wù)器上傳惡意文件。
  Nikolaos Rangos安全研究員表示,“Web服務(wù)器在解析和發(fā)回數(shù)據(jù)的時候,不能正確地處理unicode令牌。”
  美國計算機應(yīng)急準備小組也已經(jīng)發(fā)現(xiàn)此問題,該組織建議禁用WebDAV協(xié)議,直至問題完全得到解決。不過,該漏洞只存在于IIS6版本里面,并且WebDAV默認是關(guān)閉的。
  而微軟公司的安全團隊也正在研究這份報告,公司發(fā)言人說道,“我們目前還不清楚是否有人利用這種漏洞發(fā)動攻擊,也不清楚對客戶造成了怎樣的影響,”
  根據(jù)報告,以下四個字符串在訪問密碼保護的protected.zip文件的時候是必須用到的,該.zip文件存在于一個名叫protected的文件夾下面:
  GET /..%c0%af/protected/protected.zip HTTP/1.1 Translate: f Connection: close Host: servername
  unicode字符“"%c0%af”實際上是被轉(zhuǎn)換為“/”,而輸入的命令又會讓IIS6迅速解析為一個有效的文件路徑 。在黑客發(fā)送請求后,Web服務(wù)器并不會對他進行驗證請求就給他發(fā)送返回數(shù)據(jù)包。
  據(jù)介紹,這種攻擊可被用來訪問訪問、上傳和查看受密碼保護的WebDAV文件夾。Secunia對此漏洞評論為“中等危急”。
  該報告也讓人想起了2001年出現(xiàn)的IIS漏洞。那時,攻擊者可以利用這個漏洞繞過IIS的路徑檢查,去執(zhí)行或者打開任意的文件。

相關(guān)文章

最新評論