夜火博客 个人的碎碎念收集箱

IIS6 0day - Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

漏洞描述:

IIS6 0day exploit - Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该漏洞, 并从而控制服务器.

漏洞厂商: Microsoft [ http://www.microsoft.com ]

漏洞测试: Undefined

解决方案: 等待微软更新官方补丁.

function Copyright()
{

var Author=”80sec”;
var Email=”kEvin#80sec.com”.replace(”#”,”@”)
var Site=”http://www.80sec.com”;
var Date=new Date(2009,4,24).toLocaleString();
var Reference=”http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html”;
return Reference;

}

来源:80sec

留言列表
发表评论
来宾的头像