|
środa, 30 grudnia 2009 06:20 |
Soroush Dalili donosi, że za pomocą fuzzingu nazw uploadowanych plików udało się wykonać dowolny kod na serwerze IIS. Luka tkwi w sposobie w jaki IIS interpretuje pliki z wieloma rozszerzeniami oddzielonymi średnikiem
Opis luki w IIS
Wysłanie na serwer pliku o nazwie
malicious.asp;.jpg
w 70 przypadkach na 100 omija ochronę przed “niedozwolonymi” rozszerzeniami. Tak nazwany plik, będący w rzeczywistości [...]
|| Jeśli chcesz przeczytać ten artykuł w całości, kliknij na tytuł wpisu.
read full article
|
English
Arabic
Bulgarian
Croatian
Czech
Danish
Dutch
Finnish
French
German
Greek
Hindi
Italian
Japanese
Korean
Norwegian
Polish
Portuguese
Romanian
Russian
Spanish
Swedish
Catalan
Filipino
Hebrew
Indonesian
Latvian
Lithuanian
Serbian
Slovak
Slovenian
Ukrainian
Vietnamese
Albanian
Estonian
Galician
Hungarian
Maltese
Thai
Turkish
Persian
Afrikaans
Malay
Swahili
Irish
Welsh
Belarusian
Icelandic
Macedonian
Yiddish
Armenian
Azerbaijani
Basque
Georgian
Haitian Creole
Urdu
Chinese (S)
Chinese (T)
