Vítejte na serveru Sítě, viry, Windows a další...

 
  Přihlásit/Vytvořit účet    

Vyberte si
· Domů
· Archív článků
· Často kladené dotazy
· Odkazy
· Programy ke stažení
· Slovníček pojmů
· Témata článků
· Vyhledávání

Vyhledávání


Pokročilé vyhledávání

Aktuální hoaxy
·
·Spotify - Your Subscription has been suspended (20181011)
·
·Aktualizace online (20181004)
·
·
·
·
·
·Dhl Package (20180905)

více...

Internet Information Services a chyba Unicode
Publikováno: Pátek, 25.06. 2004 @ 17:30:56 CEST Od: Schuster

Bezpečnost Jedná se o chybu, kterou trpí IIS verze 2, 3, 4 a 5. Ve své podstatě jde o chybnou interpretaci dat, která získá server z IE klienta přes webové rozhraní serveru. Touto chybou lze získat přístup k souboru "CMD.EXE", což je interpret příkazů v systémech WinNT a po získání přístupu získává útočník práva systémového správce.

Podstata spočívá v tom, že útočník zadá do adresního pole svého browseru pár znaků navíc, instrukci pro "CMD" a cestu k objektu, se kterým má být manipulováno.

Zadá-li útočník jako adresu např.: http://adresa.cz/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:WinNTSystem32...může dostat tuto odpověď:



Dosáhlo se výpisu adresáře "%WinDir%System32" na serveru. Takovým způsobem lze manipulovat se soubory na serveru na úrovni systémového správce. Pokud si například útočník zajímavé soubory zkopíruje do složky "%WWWRoot%", tak si je může pohodlně stáhnout do svého počítače. Zároveň může spouštět a použít různé programy, např. "tFTP", který se dá využít k uploadu souborů na server.

Návštěvy zůstávají sice zaznamenávány v protokolu, avšak ten se dá (zpravidla po půlnoci) stejným způsobem smazat.

 
Související odkazy
· Více o tématu Bezpečnost
· Další články od autora Schuster


Nejčtenější článek na téma Bezpečnost:
Změna MAC adresy síťové karty v systému Windows


Hodnocení článku
Průměrné hodnocení: 0
Hlasů: 0

Hlasujte pro tento článek:

Výborný
Velmi dobré
Dobré
Povedený
Špatné



Možnosti

 Vytisknout článek  Vytisknout článek

 Poslat článek  Poslat článek


Související témata

Systémy Windows

"Internet Information Services a chyba Unicode" | Přihlásit/Vytvořit účet | 0 komentářů
Limit
Komentáře vlastní jejich autoři. Neodpovídáme za jejich obsah.

Není povoleno posílat komentáře anonymně, prosím zaregistrujte se.


Webmaster: Jiří Schuster


Čas potřebný ke zpracování stránky: 0.099 sekund