Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Screenshot Software:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Mga detalye ng Software:
Bersyon: (MS00-080)
I-upload ang petsa: 6 Dec 15
Nag-develop: Microsoft
Lisensya: Libre
Katanyagan: 75
Laki: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

Patch na ito ay nag-aalis ng isang kahinaan sa seguridad sa Microsoft Internet Information server na ay magpapahintulot sa isang malisyosong user na i-hijack secure na Web session ng isa pang user sa ilalim ng isang napaka-restricted set ng mga pangyayari.

Sinusuportahan IIS sa paggamit ng isang session ID cookie upang subaybayan ang mga kasalukuyang session identifier para sa isang Web session. Gayunpaman, hindi sinusuportahan ng ASP sa IIS ay ang paglikha ng mga secure na cookies session ID tulad ng tinukoy sa RFC 2109. Bilang isang resulta, secure at hindi secure na mga pahina sa parehong Web site gamitin ang parehong session ID. Kung pinasimulan ng isang user sa isang session sa isang secure na pahina ng Web, isang session ID cookie ay binuo at ipinadala sa mga user, na protektado ng SSL. Ngunit kung sa dakong huli binisita ng user ang isang di-secure na pahina sa parehong site, ay maaaring palitan ng parehong cookie session ID, oras na ito sa plaintext. Kung ang isang malisyosong user ay nagkaroon ng kumpletong kontrol sa mga channel ng komunikasyon, kaya niyang basahin ang plaintext cookie session ID at gamitin ito upang kumonekta sa session ng gumagamit sa mga secure na pahina. Sa puntong iyon, siya ay maaaring gumawa ng anumang aksyon sa mga secure na pahina na maaaring tumagal ng user.

Ang mga kondisyon sa ilalim kung saan ang kahinaan ay maaaring pinagsamantalahan sa halip daunting. Ang mga malisyosong mga user ay kailangan upang magkaroon ng kumpletong kontrol sa mga komunikasyon sa iba pang mga user sa Web site. Kahit pagkatapos, hindi maaaring gumawa ng mga malisyosong user ang unang koneksyon sa mga secure na pahina; maaari lamang gawin ang mga lehitimong gumagamit na iyon. Ang patch ay nag-aalis sa mga kahinaan sa pamamagitan ng pagdagdag ng suporta para sa mga secure session cookies ID sa mga pahina ng ASP. (Secure cookies na ang sinusuportahan para sa lahat ng iba pang mga uri ng mga cookies, sa ilalim ng lahat ng iba pang mga teknolohiya sa IIS). .

Tingnan ang FAQ para sa karagdagang impormasyon

Mga kinakailangan

Windows NT 4.0, Internet Information server 4.0

Suportadong mga sistema ng operasyon

Katulad na software

Screen Pass
Screen Pass

28 May 15

USB Manager
USB Manager

27 Oct 18

Pen Drive Unlocker
Pen Drive Unlocker

31 Dec 14

ActiveBypass
ActiveBypass

2 Nov 15

Iba pang mga software developer ng Microsoft

Mga komento sa Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Mga Komento hindi natagpuan
Magdagdag ng komento
I-sa mga imahe!