UrlScan раскрывает свое присутствие удаленному пользователю

04.06.2003 | 15:23
Уязвимость в конфигурации по умолчанию обнаружена в Microsoft UrlScan для Microsoft Internet Information Server (IIS). Удаленный пользователь может определить, запущен ли UrlScan на целевом сервере.

Сообщается, что в конфигурации по умолчанию, UrlScan раскрывает свое присутствие удаленному пользователю, по тому, как обрабатывает HTTP HEAD запросы. Согласно сообщению, некорректный HEAD URL обрабатывается как GET запрос. Microsoft сообщает, что так и задумано. Поскольку отклонение происходит в процессе обработки запроса, нормальная 404 ошибка не может быть сгенерированна. Вместо этого будет отображен HTML, указанный в параметре RejectResponseUrl.

Уязвимость обнаружена в URLSCAN.DLL version 6.0.3547.0.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код