Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

軟件截圖:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
軟件詳細信息:
版本: (MS00-080)
上傳日期: 6 Dec 15
開發: Microsoft
許可: 免費
人氣: 75
尺寸: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

這個補丁消除Microsoft Internet信息服務器的​​安全漏洞,該漏洞允許惡意用戶在非常受限制的情況下劫持其他用戶的安全Web會話。

IIS支持使用一個會話ID的Cookie來跟踪當前會話標識符為Web會話。但是,ASP在IIS不支持創建安全會話ID的Cookie在RFC 2109中定義其結果是,在同一個網站的安全和非安全的網頁使用相同的會話ID。如果用戶提供一個安全的Web頁面發起的會話,會話ID cookie將被生成並被發送給用戶,SSL保護。但是,如果用戶隨後走訪一個非安全頁面上的相同部位,相同的會話ID的Cookie會被交換,這一次是在明文。如果惡意用戶有完全控制通信信道,他可以閱讀純文本會話ID的Cookie,並用它來與安全網頁連接到用戶的會話。在這一點上,他可以採取的安全頁面,用戶可以採取的任何行動。

根據此漏洞可能被利用的條件是相當艱鉅的。惡意用戶需要擁有完全的控制權與網站其他用戶的通信。即使這樣,惡意用戶可能不能建立與安全網頁的初始連接;只有合法用戶能做到這一點。這個補丁中加入支持ASP頁面的安全會話ID的Cookie消除了漏洞。 (安全餅乾已經為所有其他類型的Cookie在IIS支持,在所​​有其他技術)。

請參閱常見問題以獲取更多信息

要求

的Windows NT 4.0,Internet信息服務器4.0

支持的操作系統

類似的軟件

CloudEntr
CloudEntr

23 Nov 14

6Scan
6Scan

14 Dec 14

QuatraScan
QuatraScan

23 Nov 14

Free Trust Seal
Free Trust Seal

14 Dec 14

顯影劑的其他軟件 Microsoft

意見 Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

評論沒有發現
添加評論
打開圖片!