Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

IIS6 WebDAV autentikáció megkerülése

2009.05.16. 08:54 | buherator | 1 komment

Kingcope, alias Nikolaos Rangos olyan problémát fedezett fel a Microsoft Internet Information Services 6-os verziójában, amely lehetővé teszi, hogy hozzáférjünk bármely fájlhoz, amelyet WebDAV autentikációt használó védett könyvtárakban tárolnak, valamint elméletileg fel is tölthetünk fájlokat ezekre a helyekre.

A hiba nosztalgikus emlékeket idéz meg a Unicode szabvány elterjedése körüli időkről, különösen ezzekkel a sok galibát okozó, 2000-es és 2001-es IIS5 problémákkal mutat kísérteties hasonlóságot. A problémát most is az okozza, hogy a webkiszolgáló előbb végzi el a jogosultságellenőrzést, mint a karakterkonverziót, így a %c0%af unicode karakter (szebbik formájában '/') használatával a szerver ellenőrzési rutinjai egyszerűen megkerülhetők.

Fontos megemlíteni, hogy a jelek szerint az IIS7 nem éritnett, valamint a WebDAV autentikáció sincs bekapcsolva alapból a 6-os verziókon. Kingcope jelentését megtekinthetitek itt.

Kicsit átszervezték a programomat, így mégis lett új poszt, de sajnos jön még kutyára úthenger...

Címkék: bug iis webdav unicode

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.