UrlScan раскрывает свое присутствие удаленному пользователю в конфигурации по умолчанию
| Дата публикации: | 04.06.2003 |
| Всего просмотров: | 1270 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость в конфигурации по умолчанию обнаружена в Microsoft UrlScan для Microsoft Internet Information Server (IIS). Удаленный пользователь может определить, запущен ли UrlScan на целевом сервере.
Сообщается, что в конфигурации по умолчанию, UrlScan раскрывает свое присутствие удаленному пользователю, по тому, как обрабатывает HTTP HEAD запросы. Согласно сообщению, некорректный HEAD URL обрабатывается как GET запрос. Microsoft сообщает, что так и задумано. Поскольку отклонение происходит в процессе обработки запроса, нормальная 404 ошибка не может быть сгенерированна. . Вместо этого будет отображен HTML, указанный в параметре 'RejectResponseUrl'. Пример: HEAD /OMG.exe HTTP/1.1 Host: iis Connection: close Response: HTTP/1.1 404 Object Not Found Server: Microsoft-IIS/5.0 Date: Tue, 28 May 2002 04:32:15 GMT Connection: close Content-Length: 4040 Content-Type: text/html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <html dir=ltr> [huge page of HTML snipped]Уязвимость обнаружена в URLSCAN.DLL version 6.0.3547.0 |
| Ссылки: | URLScan detection |