A H Security témába vágó cikke szerint a probléma nem korlátozódik kizárólag a WebDAV folder-ekre, hanem érinti a webszerver által kontrollált összes könyvtárat.
A WebDAV alapértelmezetten nincs nincs engedélyezve. A biztonsági szakemberek azt javasolják, hogy a problémában érintett rendszereket futtatók a hiba javításáig tiltsák le a WebDAV-ot, vagy gondoskodjanak arról, hogy !biztonságos helyről ne lehessen elérni a webszervert.
A jelenlegi hibához hasonló hibát fedeztek fel 2000-ben az IIS 4 és 5 verziókban. Thierry Zoller blogjában hasonlítja össze a régi és az új bugot.
Referenciák:
IIS6 + webdav and unicode rides again in 2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
Security hole in IIS 6.0
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Degenerált UTF-8 parser lehet az ok?
Emlékeztető primitív nullmérgezési lehetőségre:
%c0%80 == %00 (és még négyféleképp lehet Unicode nullás kódú karaktert küldeni)
Jelen esetben dekódolás után:
%c0%af == %2f == '/' (mert 0xC0.0xAF = b11000000 b10101111 bit-tizenegyes, nullával feltöltve szóhatárig a nagyobb helyiértékű biteken)
GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername
esetén tulajdonképpen így fogja értelmezi a kérést az IIS:
GET /..//protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername
[szerk.]
ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lenne
- A hozzászóláshoz be kell jelentkezni