评论:最近,安全专家向使用微软Internet信息
服务IIS 6的
管理员发出警告,声称Web
服务器易受攻击,并
显示受
密码保护的
文件和文件夹。
据悉,该漏洞存在于某些过程的
命令基于WebDAV协议。通过添加一些Unicode字符的
网页地址,黑客可以访问这些敏感文件,mdash;mdash;
最近,安全专家向使用微软Internet信息服务IIS 6的管理员发出警告,声称Web服务器易受攻击,并显示受
密码保护的文件和文件夹。
据悉,该漏洞存在于某些过程的命令基于WebDAV协议。通过添加一些Unicode字符的网页地址,黑客可以访问这些敏感文件,mdash;mdash;这些文件一般有
系统密码保护。此外,该漏洞还可以
上传恶意文件到服务器。
Nikolaos Rangos安全研究人员说,Web服务器不能
处理Unicode令牌时
正确的解析和数据发送回。
美国
电脑急救准备组也
发现了问题,并组织建议,WebDAV协议被
禁止,直到问题彻底
解决。然而,只有在IIS6版本存在的漏洞和WebDAV是
默认关闭。
微软
公司安全小组也在研究这份
报告。该公司发言人说,我们不知道是否有人在利用这个漏洞发动攻击,或者它是如何
影响客户的。。
据报道,以下四个字符串时必须使用密码保护protected.zip文件访问。zip文件存在于被称为保护的文件夹下:
得到/ % C0 % AF / / /保护protected.zip HTTP 1.1
翻译:F
连接:关闭服务器主机:
Unicode字符是% % af C0 ;事实上,它被
转换为 /,与
输入命令将很快解决IIS6成为一个有效的文件
路径。黑客发送请求后,Web服务器不给他一个验证请求并发送回他包。
这种攻击可以用来访问、上传、查看密码保护的WebDAV文件夹,据
介绍,Secunia的漏洞审查是介质临界;
该报告还提醒我们2001出现的IIS漏洞。在那个时候,攻击者可以使用此漏洞绕过IIS路径
检查来
执行或打开任何文件。