Microsoft IIS重定向错误信息跨站脚本执行漏洞发布时间:2003-05-31 更新时间:2003-05-31 严重程度:低 威胁程度:欺骗 错误类型:输入验证错误 利用方式:服务器模式 CVE(CAN) ID:CAN-2003-0223 受影响系统 Micrsoft IIS 4.0/5.0/5.1详细描述 Microsoft IIS 4.0、5.0和5.1实现上存在跨站脚本执行漏洞,IIS可能向用户发送错误信息告知用户请求已经被重定向了,而在回应的信息中没有过滤脚本代码。攻击者可以在他的网页中加入带有恶意脚本代码的链接指向第三方的一个IIS服务器,导致IIS服务器向用户返回的错误信息中夹带了恶意脚本代码,这样就可能绕过用户浏览器的安全区域限制,造成跨站脚本执行。 解决方案 厂商已经在一个累计补丁中修补了此漏洞: IIS 4.0: http://microsoft.com/downloads/details.aspx?FamilyId=1DBC1914-98E9-4DED-ADBF-E9B374A1F79D&displaylang=en IIS 5.0: http://microsoft.com/downloads/details.aspx?FamilyId=2F5D9852-4ADD-44F8-8715-AC3D7D7D94BF&displaylang=en IIS 5.1: http://microsoft.com/downloads/details.aspx?FamilyId=77CFE3EF-C5C5-401C-BC12-9F08154A5007&displaylang=en http://microsoft.com/downloads/details.aspx?FamilyId=86F4407E-B9BF-4490-9421-008407578D11&displaylang=en 相关信息 Microsoft Security Bulletin MS03-018 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-018.asp |
