首頁 > 建站 > 伺服器

微軟IIS6漏洞:伺服器敏感資訊易被竊

來源:互聯網
上載者:User
關鍵字 微軟 iis
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!
近日,安全專家對使用微軟Internet資訊服務IIS 6的管理員發出警告,聲稱Web伺服器很容易受到攻擊並暴露出密碼保護的檔和資料夾。 據悉,基於WebDAV協定的部分進程命令中存在這種漏洞。 通過給Web位址添加一些Unicode字元,駭客就可以訪問這些敏感檔——這些檔一般都有系統密碼保護。 另外,該漏洞也可以被用來給伺服器上傳惡意檔。 Nikolaos Rangos安全研究員表示,「Web伺服器在解析和發回資料的時候,不能正確地處理unicode權杖。 」美國電腦應急準備小組也已經發現此問題,該組織建議禁用WebDAV協定,直至問題完全得到解決。 不過,該漏洞只存在於IIS6版本裡面,並且WebDAV預設是關閉的。 而微軟公司的安全團隊也正在研究這份報告,公司發言人說道,「我們目前還不清楚是否有人利用這種漏洞發動攻擊,也不清楚對客戶造成了怎樣的影響,」根據報告, 以下四個字串在訪問密碼保護的protected.zip檔的時候是必須用到的,該.zip檔存在於一個名叫protected的資料夾下面:GET /.. %c0%af/protected/protected.zip HTTP/1.1 Translate: f Connection: close Host: servernameunicode字元「"%c0%af」實際上是被轉換為「/」, 而輸入的命令又會讓IIS6迅速解析為一個有效的檔路徑 。 在駭客發送請求後,Web伺服器並不會對他進行驗證請求就給他發送返回資料包。 據介紹,這種攻擊可被用來訪問訪問、上傳和查看受密碼保護的WebDAV資料夾。 Secunia對此漏洞評論為「中等危急」。 該報告也讓人想起了2001年出現的IIS漏洞。 那時,攻擊者可以利用這個漏洞繞過IIS的路徑檢查,去執行或者打開任意的檔。

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

相關文章
sql語句操作全集值得永久收藏
提高SQL執行效率的幾點建議
精妙的SQL語句技巧集合
3個步驟解決SQL注入隱患
SQL優化經驗總結34條
sql 統計本周,本月,下周,下月sql語句

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

熱門文章

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More