微软IIS6存漏洞 服务器敏感信息易被窃

　　近日，安全专家对使用微软Internet信息服务IIS6的管理员发出警告，声称Web服务器很容易受到攻击并暴露出密码保护的文件和文件夹。

　　据悉，基于WebDAV协议的部分进程命令中存在这种漏洞。通过给Web地址添加一些Unicode字符，黑客就可以访问这些敏感文件——这些文件一般都有系统密码保护。另外，该漏洞也可以被用来给服务器上传恶意文件。

　　NikolaosRangos安全研究员表示，“Web服务器在解析和发回数据的时候，不能正确地处理unicode令牌。”

　　美国计算机应急准备小组也已经发现此问题，该组织建议禁用WebDAV协议，直至问题完全得到解决。不过，该漏洞只存在于IIS6版本里面，并且WebDAV默认是关闭的。

　　而微软公司的安全团队也正在研究这份报告，公司发言人说道，“我们目前还不清楚是否有人利用这种漏洞发动攻击，也不清楚对客户造成了怎样的影响，”

　　根据报告，以下四个字符串在访问密码保护的protected.zip文件的时候是必须用到的，该.zip文件存在于一个名叫protected的文件夹下面：

　　GET/..%c0%af/protected/protected.zipHTTP/1.1Translate：fConnection：closeHost：servername

　　unicode字符“”%c0%af”实际上是被转换为“/”，而输入的命令又会让IIS6迅速解析为一个有效的文件路径。在黑客发送请求后，Web服务器并不会对他进行验证请求就给他发送返回数据包。

　　据介绍，这种攻击可被用来访问访问、上传和查看受密码保护的WebDAV文件夹。Secunia对此漏洞评论为“中等危急”。

　　该报告也让人想起了2001年出现的IIS漏洞。那时，攻击者可以利用这个漏洞绕过IIS的路径检查，去执行或者打开任意的文件。

  ZOL软件事业部品牌栏目《ZOL软件精选》|升级速递|明星软件|小软推荐>>>

　　[推荐] 应用达人堂14期:移动飞信五大实用功能 [分析] “四小新兵”浏览器终极大PK

　　[分析] 操作简单防护全面 卡巴斯基手机版试用 [分析] 酷客表情输入法深度试用

　　[分析] 查杀监控一体化 诺顿360新版六大亮点 [评测]优化点播质量 风行网络电影1.53版评测

　　温馨提示:ZOL软件事业部编辑公共邮箱先已开通，无论您有建议或投稿、咨询，均可发送邮件到zolsoft@staff.zol.com.cn，编辑会认真阅读您的每一封来信，并给予您满意的答复。