Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

首页 > 技术文章 > Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

2009年7月29日 Chinadu 发表评论 81 views 阅读评论

Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

function Copyright()
{

var Author=”80sec”;
var Email=”kEvin#80sec.com”.replace(”#”,”@”)
var Site=”http://www.80sec.com”;
var Date=new Date(2009,4,24).toLocaleString();
var Reference=”http://www.80sec.com/Microsoft-Internet-Infomation-Server-6-ISAPI-filename-analytic-Vulnerabilitie.html”;
return Reference;

}

漏洞描述:

IIS6 (Internet Infomation Server 6.0) 是微软出品的一款WEB服务器系统, 广泛用于各种个人/商业信息发布/网站架设领域。80sec在测试中发现, IIS设计上在处理畸形文件名的时候存在一个严重的安全漏洞, 可能绕过web程序的逻辑检查从而能导致服务器以IIS进程权限执行任意恶意用户定义的脚本, 黑客可以通过制造畸形的服务器文件来触发该漏洞, 并从而控制服务器.

漏洞厂商:

Microsoft [ http:\/\/www.microsoft.com ]

漏洞测试:

Undefined

解决方案:

等待微软更新官方补丁.

PS：

个人测试了一下应用不是十分广泛不过还是一个0day 还是有应用价值的

2009年09月8日 -- IIS6解析漏洞
2009年08月28日 -- dedecms 5.3 – 5.5注入漏洞
2007年03月2日 -- QQzone WebCtrl Activex空指针引用漏洞(0day)
2011年09月21日 -- WPA2不再安全无线加密协议曝惊天漏洞
2011年05月12日 -- 简单配置 IIS6 + FastCGI 高效运行PHP
2010年08月3日 -- 黑帽大会：HTTPS和SSL存在安全漏洞
2010年07月3日 -- 风讯（FooSun）GetPassword.asp页面存在任意修改密码漏洞
2010年06月10日 -- 你还敢执行txt文件吗？Windows 0day
2010年05月21日 -- 橙色预警：PHP PATH_INFO 存在漏洞
2010年05月8日 -- JBoss企业应用平台JMX控制台安全绕过漏洞

分类: 技术文章标签: 0day, IIS, 漏洞

评论 (0) Trackbacks (0) 发表评论 Trackback

本文目前尚无任何评论.

本文目前尚无任何 trackbacks 和 pingbacks.

吴宗宪45条BT经典台词－牛的不行腾讯QQ2009漏洞

一	二	三	四	五	六	日
« 一
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29

Chinadu's Blog

Microsoft Internet Infomation Server 6.0 ISAPI Filename Analytic Vulnerability

相关文章

About Me

站内搜索

日历

最新文章

热门文章

近期评论

文章归档

Categories

Blogroll

Archives