Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Screenshot Software:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Mga detalye ng Software:
Bersyon: (MS00-080)
I-upload ang petsa: 6 Dec 15
Nag-develop: Microsoft
Lisensya: Libre
Katanyagan: 46
Laki: 2693 Kb
Download

Rating: nan/5 (Total Votes: 0)

Patch na ito ay nag-aalis ng isang kahinaan sa seguridad sa Microsoft Internet Information server na ay magpapahintulot sa isang malisyosong user na i-hijack secure na Web session ng isa pang user sa ilalim ng isang napaka-restricted set ng mga pangyayari.

Sinusuportahan IIS sa paggamit ng isang session ID cookie upang subaybayan ang mga kasalukuyang session identifier para sa isang Web session. Gayunpaman, hindi sinusuportahan ng ASP sa IIS ay ang paglikha ng mga secure na cookies session ID tulad ng tinukoy sa RFC 2109. Bilang isang resulta, secure at hindi secure na mga pahina sa parehong Web site gamitin ang parehong session ID. Kung pinasimulan ng isang user sa isang session sa isang secure na pahina ng Web, isang session ID cookie ay binuo at ipinadala sa mga user, na protektado ng SSL. Ngunit kung sa dakong huli binisita ng user ang isang di-secure na pahina sa parehong site, ay maaaring palitan ng parehong cookie session ID, oras na ito sa plaintext. Kung ang isang malisyosong user ay nagkaroon ng kumpletong kontrol sa mga channel ng komunikasyon, kaya niyang basahin ang plaintext cookie session ID at gamitin ito upang kumonekta sa session ng gumagamit sa mga secure na pahina. Sa puntong iyon, siya ay maaaring gumawa ng anumang aksyon sa mga secure na pahina na maaaring tumagal ng user.

Ang mga kondisyon sa ilalim kung saan ang kahinaan ay maaaring pinagsamantalahan sa halip daunting. Ang mga malisyosong mga user ay kailangan upang magkaroon ng kumpletong kontrol sa mga komunikasyon sa iba pang mga user sa Web site. Kahit pagkatapos, hindi maaaring gumawa ng mga malisyosong user ang unang koneksyon sa mga secure na pahina; maaari lamang gawin ang mga lehitimong gumagamit na iyon. Ang patch ay nag-aalis sa mga kahinaan sa pamamagitan ng pagdagdag ng suporta para sa mga secure session cookies ID sa mga pahina ng ASP. (Secure cookies na ang sinusuportahan para sa lahat ng iba pang mga uri ng mga cookies, sa ilalim ng lahat ng iba pang mga teknolohiya sa IIS). .

Tingnan ang FAQ para sa karagdagang impormasyon

Mga kinakailangan

Windows NT 4.0, Internet Information server 4.0

6 Dec 15 Sa Software ng seguridad, Corporate software ng seguridad

Suportadong mga sistema ng operasyon

Katulad na software

Embedded Security Library for Native Mobile Apps
Embedded Security Library for Native Mobile Apps

10 Dec 14

WinJail
WinJail

23 Sep 15

Active Directory User's Password Resetter
Active Directory User's Password Resetter

5 May 15

Point Guard Security
Point Guard Security

10 Jul 15

Iba pang mga software developer ng Microsoft

Application Center 2000 - Event Viewer
Application Center 2000 - Event Viewer

21 Sep 15

Monsters Love Candy for Windows 8
Monsters Love Candy for Windows 8

22 Jan 15

Gigabyte GA-F2A78M-DS2 (rev. 3.0) Microsoft UAA Driver
Gigabyte GA-F2A78M-DS2 (rev. 3.0) Microsoft UAA Driver

25 Jul 15

Windows Server 2003 SP1 Platform SDK Web Install
Windows Server 2003 SP1 Platform SDK Web Install

21 Sep 15

Mga komento sa Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Mga Komento hindi natagpuan
Magdagdag ng komento
I-sa mga imahe!
Maghanap ayon sa kategorya
Mga sikat na software