标签：ASP IIS 2002 缓冲区 SSI 攻击者 Microsoft

Microsoft IIS（Internet Information Server）是MS Windows系统默认自带的Web服务器软件。 IIS 4.0、5.0和5.1在处理ASP SSI（服务端包含）存在逻辑检查和缓冲区溢出漏洞，允许远程攻击者得到主机的本地访问权限。产生原因是由于在 SSI（服务端包含）的一个安全检查有错误。某些情况下，用户的网页请求能正确地通过在ASP脚本中嵌入文件并处理来完成。在处理嵌入请求之前，IIS会对用户指定的文件名进行检查，以确保文件名有效且其大小能放入一个静态缓冲区。但是，某些情况下，攻击者可以用某种方式提交一个伪造的超长文件名并能通过安全检查，从而导致缓冲区溢出。 成功地利用这个漏洞，对于IIS 4.0，远程攻击者可以获取SYSTEM权限；对于IIS 5.0/5.1攻击者可以获取IWAM_computername用户的权限。解决方法 厂商补丁:Microsoft ---------  目前 Microsoft 已经发布安全公告，请按照 公告、KB 或 CVE 编号从下面的链接搜索对应的补丁进行安装。链接：https://technet.microsoft.com/security/bulletin/

标签：ASP,IIS,2002,缓冲区,SSI,攻击者,Microsoft
来源： https://www.cnblogs.com/mrhonest/p/10892269.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。