Нарушение ISAPI приоритета в IIS (NetPoint)

Уязвимость найдена при совместной работе программы с WebSphere, и позволяет обходить ограничения защиты, наложенные на ресурс (JSP или другой).

Принцип работы Oblix состоит в том, что она устанавливает ISAPI фильтр (называемый WebGate) в IIS, чтобы фиксировать все HTTP запросы. Затем каждый зафиксированный поступающий HTTP запрос, проверяется на наличие Oblix cookie, и если их там нет, возвращает экран вызова на браузер клиента. Как только клиент вошел, WebGate переадресовывает браузер к первоначальному запросу, который был сделан для ресурса. WebGate контролирует все последующие запросы о ресурсах и гарантирует, что клиент имеет надлежащий уровень доступа для таких ресурсов.

Проблема возникает при попытке защитить ресурс, который содержит servlets/JSP, и чьи запросы обработаны WebSphere 4.0.1. ISAPI фильтр WebSphere и ISAPI фильтр Oblix WebGate установлены на том же самом web сервере с 'высоким' приоритетом. Обратите внимание, что оба фильтра установлены на уровне сервера, а не уровене сайта. Фильтр Oblix стоит выше в списке IIS, так ка ему требуется самый высокий приоритет всех "высоких" приоритетных дополнений к программе. Если мы выбираем URL, который обработан 'WAS’, IIS выполняет 'WAS’ ISAPI фильтр перед выполнением фильтра Oblix. Т.е. в результате этого запросы, сделанные к ресурсу обработанному 'WAS', не защищены. Суть проблемы не ясна, скорее всего она связанна с обной из следующих причин (или их комбинацией):

1. IIS 5.0 не правильно обрабатывает приоритеты ISAPI фильтра
2. Оба WAS и JRun фильтра имеют ошибки в IIS 5