Microsoft IIS Escape字符解析漏洞发布时间:2000-05-03 更新时间:2001-05-03 严重程度:中 威胁程度:其它 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Microsoft IIS 4.0详细描述 IIS接受的Escaped字符不是合法的16进制数字,所有 WEB服务器接受RFC1738规定接受通过一个%号来接受16进制数字,但IIS也接受非法的16进制并且把它们转译成合法的 ASCII字符,这样的话第三方软件接受此类(明文,合法16 进制,不合法16进制)就不能进行很好的控制,如一些访问控制和入侵检测系统。 测试代码 见描述部分。 解决方案 在微软公司可以下载相应的补丁:Intel: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16357 Alpha: http://www.microsoft.com/Downloads/Release.asp? ReleaseID=16358 相关信息 |
