近日，安全專家對使用微軟Internet信息服務IIS 6的管理員發(fā)出警告，聲稱Web服務器很容易受到攻擊并暴露出密碼保護的文件和文件夾。

　　據(jù)悉，基于WebDAV協(xié)議的部分進程命令中存在這種漏洞。通過給Web地址添加一些Unicode字符，黑客就可以訪問這些敏感文件——這些文件一般都有系統(tǒng)密碼保護。另外，該漏洞也可以被用來給服務器上傳惡意文件。

　　Nikolaos Rangos安全研究員表示，“Web服務器在解析和發(fā)回數(shù)據(jù)的時候，不能正確地處理unicode令牌。”

　　美國計算機應急準備小組也已經(jīng)發(fā)現(xiàn)此問題，該組織建議禁用WebDAV協(xié)議，直至問題完全得到解決。不過，該漏洞只存在于IIS6版本里面，并且WebDAV默認是關閉的。

　　而微軟公司的安全團隊也正在研究這份報告，公司發(fā)言人說道，“我們目前還不清楚是否有人利用這種漏洞發(fā)動攻擊，也不清楚對客戶造成了怎樣的影響，”

　　根據(jù)報告，以下四個字符串在訪問密碼保護的protected.zip文件的時候是必須用到的，該.zip文件存在于一個名叫protected的文件夾下面：

　　GET /..%c0%af/protected/protected.zip HTTP/1.1 Translate: f Connection: close Host: servername

　　unicode字符“"%c0%af”實際上是被轉(zhuǎn)換為“/”，而輸入的命令又會讓IIS6迅速解析為一個有效的文件路徑 。在黑客發(fā)送請求后，Web服務器并不會對他進行驗證請求就給他發(fā)送返回數(shù)據(jù)包。

　　據(jù)介紹，這種攻擊可被用來訪問訪問、上傳和查看受密碼保護的WebDAV文件夾。Secunia對此漏洞評論為“中等危急”。

　　該報告也讓人想起了2001年出現(xiàn)的IIS漏洞。那時，攻擊者可以利用這個漏洞繞過IIS的路徑檢查，去執(zhí)行或者打開任意的文件。

總結

以上是生活随笔為你收集整理的微软IIS6漏洞：服务器敏感信息易被窃的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。