Microsoft IIS Escape字符解析漏洞发布时间:1999-12-21 更新时间:1999-12-21 严重程度:低 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 WinNT详细描述 IIS接受的Escaped字符不是合法的16进制数字,所有 WEB服务器接受RFC1738规定接受通过一个%号来接受16进制数字,但IIS也接受非法的16进制并且把它们转译成合法的 ASCII字符,这样的话第三方软件接受此类(明文,合法16 进制,不合法16进制)就不能进行很好的控制,如一些访问控制和入侵检测系统。 测试代码 暂无 解决方案 在微软公司可以下载相应的补丁:Intel: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16357 Alpha: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16358 相关信息 |
