| 网站首页 | 新闻中心 | 系统安全 | 网络安全 | 安全技术 | 下载中心 | 
课件制作网.
收藏本站
设为首页
安全365
Microsoft索引服务查询验证跨站脚本漏洞
Microsoft索引服务查询验证跨站脚本漏洞
作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 10:06:36
  受影响系统:

  Microsoft Windows XP SP2

  Microsoft Windows XP SP1

  Microsoft Windows Server 2003 SP1

  Microsoft Windows Server 2003

  Microsoft Windows 2000

  描述:

  BUGTRAQ ID: 19927

  CVE(CAN) ID: CVE-2006-0032

  Microsoft索引服务可以为文件系统和虚拟Web服务器创建内容和属性的索引目录。

  索引服务没有正确地验证查询参数,可能允许跨站脚本执行。

  如果用户受骗访问了恶意站点的话,就可能允许攻击者代表用户运行客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。成功攻击要求可以通过IIS访问索引服务。

  <*来源:Eiji James Yoshida (ptrs-ejy@bp.iij4u.or.jp)

   链接:http://secunia.com/advisories/21861

   http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx

   http://www.us-cert.gov/cas/techalerts/TA06-255A.html

  *>

  建议:

  临时解决方法:

  * 不要从用作服务器的系统浏览Internet

  * 禁用Internet Explorer中的页面编码自动检测

  * 在运行IIS 5.0的Windows 2000上使用URLScan

  * 从运行IIS 5.0的Windows 2000上的Internet信息服务中删除索引服务器ISAPI扩展脚本映射

  * 删除索引服务

  * 从运行IIS 6.0的Windows 2003上的IIS中禁用索引服务扩展

  厂商补丁:

  Microsoft

  Microsoft已经为此发布了一个安全公告(MS06-053)以及相应补丁:

  MS06-053:Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)

  链接:http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx 【转自世纪安全网 http://www.21safe.com】
文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     
     
     
    Symantec Mail Security
    Microsoft Word邮件合并
    Microsoft索引服务查询验
    Microsoft管理控制台重新
    Windows系统专用木马、间
    CRLF注入攻击的原理和防
    Unicode简介
    操纵一切 使用最快的远程
    谈谈Unicode编码,简要解
    通过icoke活动免费得3DQ

    Copyright © 2006-2008 www.anquan365.com 安全365
    建议使用1024*768分辨率及第三方浏览器对本站进行浏览