Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Yazılım ekran görüntüsü:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Yazılım detaylar:
Versiyon: (MS00-080)
Qayıt: 6 Dec 15
Geliştirici: Microsoft
Lisans: Ücretsiz
Popülerlik: 75
Boyut: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

Bu yama, kötü niyetli bir kullanıcı koşullar çok kısıtlı kümesi altında başka bir kullanıcının güvenli Web oturumu kaçırmak için izin verecek, Microsoft Internet Information sunucusu bir güvenlik açığını ortadan kaldırır.

IIS geçerli oturum tanımlayıcısı izlemek için oturum kimliği çerezinin kullanılmasını desteklemektedir Web oturumu için. Sonuç olarak, aynı Web sitesinde güvenli ve güvenli olmayan sayfalar aynı oturum kimliği kullanmak gibi RFC 2109. tanımlanan Ancak, IIS ASP güvenli oturum kimliği çerezleri oluşturulmasını desteklemez. Bir kullanıcı güvenli bir Web sayfası ile bir oturum başlattı, bir oturum kimliği tanımlama üretilir ve SSL ile korunan kullanıcı gönderilecek. Kullanıcı daha sonra aynı sitede güvenli olmayan bir sayfayı ziyaret Ama eğer, aynı oturum kimliği tanımlama, düz metin olarak bu sefer alışverişinde olacaktır. Kötü niyetli bir kullanıcının iletişim kanalı üzerinde tam kontrol olsaydı, o düz metin oturum kimliği çerezi okuyabilir ve güvenli sayfa kullanıcının oturumuna bağlanmak için kullanabilirsiniz. Bu noktada, o kullanıcı sürebilir güvenli sayfadaki herhangi bir eylem sürebilir.

Bu güvenlik açığından yararlanılabilir hangi şartlar altında oldukça zor bulunmaktadır. Kötü niyetli bir kullanıcı Web sitesi ile diğer kullanıcıların iletişim üzerinde tam kontrole sahip olmak gerekir. Hatta daha sonra, kötü niyetli bir kullanıcı güvenli sayfaya ilk bağlantıyı gelemedi; sadece meşru kullanıcı bunu yapabilir. Yama ASP sayfalarında güvenli bir oturum kimliği tanımlama bilgileri için destek ekleyerek güvenlik açığını ortadan kaldırır. (Güvenli çerezler zaten IIS diğer tüm teknolojilerin altında, kurabiye, tüm diğer türleri için desteklenir). .

Daha fazla bilgi için SSS bölümüne bakın

Gereksinimleri

Windows NT 4.0, Internet Information Server 4.0

Desteklenen işletim sistemleri

Benzer yazılım

cPWD
cPWD

29 Oct 15

WebTimer
WebTimer

29 Oct 15

PhoneSweep
PhoneSweep

23 Sep 15

M2 Circle
M2 Circle

21 Jan 15

Geliştirici Diğer yazılım Microsoft

Yorumlar Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Yorum Bulunamadı
Yorum eklemek
Görüntülerde açın!