Vulnerabilità per IIS 6.0 e punti e virgola

di , in Windows Server and Security,

Durante le vacanze di Natale è stata riportata una vulnerabilità per IIS 6.0 (Windows Server 2003), per cui se mettete un ; in mezzo ad un path, per come IIS gestisce l'accesso al disco, viene invocato l'handler sbagliato. Supponiamo di richiamare

http://www.miosito.local/pagina.aspx;test.jpg

Se avessimo uploadato un file con questo nome nella directory, verrebbe eseguire come se si trattasse di una pagina ASP.NET.

In realtà ci sono un po' di considerazioni che mitigano il problema, tutte riportate qui.

IIS 7.0 e 7.5 (Windows Server 2008 e 2008 R2) ne sono immuni.

Commenti

Visualizza/aggiungi commenti

Vulnerabilità per IIS 6.0 e punti e virgola
| Condividi su: Twitter, Facebook, LinkedIn, Google+

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Nella stessa categoria
I più letti del mese