Обхід захисту в Microsoft IIS
22:48 16.01.2010Виявлена можливість обходу захисту в Microsoft IIS. Дана техніка увйшла до переліку найкращих веб хаків 2009 року.
Уразливі продукти: Microsoft Internet Information Services (IIS) під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.
Частина імені файлу після крапки з комою ігнорується, що дозволяє підмінити розширення файлу, наприклад файл script.asp;.jpg виконується сервером як скрипт ASP.
- Code to mitigate IIS semicolon zero-day (деталі)
- Microsoft IIS 0Day Vulnerability in Parsing Files (semi-colon bug) (деталі)