微软S6的脆弱性：服务器的敏感信息易被盗

评论：最近，安全专家向使用微软Internet信息服务IIS 6的管理员发出警告，声称Web服务器易受攻击，并显示受密码保护的文件和文件夹。
据悉，该漏洞存在于某些过程的命令基于WebDAV协议。通过添加一些Unicode字符的网页地址，黑客可以访问这些敏感文件，mdash；mdash；

最近，安全专家向使用微软Internet信息服务IIS 6的管理员发出警告，声称Web服务器易受攻击，并显示受密码保护的文件和文件夹。
据悉，该漏洞存在于某些过程的命令基于WebDAV协议。通过添加一些Unicode字符的网页地址，黑客可以访问这些敏感文件，mdash；mdash；这些文件一般有系统密码保护。此外，该漏洞还可以上传恶意文件到服务器。
Nikolaos Rangos安全研究人员说，Web服务器不能处理Unicode令牌时正确的解析和数据发送回。
美国电脑急救准备组也发现了问题，并组织建议，WebDAV协议被禁止，直到问题彻底解决。然而，只有在IIS6版本存在的漏洞和WebDAV是默认关闭。
微软公司安全小组也在研究这份报告。该公司发言人说，我们不知道是否有人在利用这个漏洞发动攻击，或者它是如何影响客户的。。
据报道，以下四个字符串时必须使用密码保护protected.zip文件访问。zip文件存在于被称为保护的文件夹下：
得到/ % C0 % AF / / /保护protected.zip HTTP 1.1翻译：F连接：关闭服务器主机：
Unicode字符是% % af C0 ；事实上，它被转换为 /，与输入命令将很快解决IIS6成为一个有效的文件路径。黑客发送请求后，Web服务器不给他一个验证请求并发送回他包。
这种攻击可以用来访问、上传、查看密码保护的WebDAV文件夹，据介绍，Secunia的漏洞审查是介质临界；
该报告还提醒我们2001出现的IIS漏洞。在那个时候，攻击者可以使用此漏洞绕过IIS路径检查来执行或打开任何文件。