Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Software screenshot:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Podrobnosti Software:
Verze: (MS00-080)
Datum uploadu: 6 Dec 15
Vývojka: Microsoft
Licence: Volný
Popularita: 75
Velikost: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

Tato oprava odstraňuje chybu zabezpečení v aplikaci Microsoft Internet Information Server, který by umožnil uživateli se zlými úmysly unést zabezpečené webové relace jiného uživatele na základě velmi omezeného souboru okolností.

Služba IIS podporuje použití ID relace cookie pro sledování aktuální identifikátor relace na webovou relaci. Nicméně, ASP v IIS nepodporuje vytváření bezpečných Session ID cookie, jak je definován v RFC 2109. V důsledku toho, bezpečné a nezabezpečené stránky na stejné webové stránky používají stejný ID relace. Pokud se uživatel zahájil relaci s zabezpečenou webovou stránku, relace ID cookie by být získány a zaslány uživateli, chráněné SSL. Ale v případě, že uživatel následně navštívil nezabezpečené stránce na stejném místě, stejné ID relace cookie by být vyměněn, tentokrát ve formě prostého textu. Pokud uživatel se zlými úmysly měl úplnou kontrolu nad komunikační kanál, mohl přečíst holého textu ID relace cookie a použít ji k připojení k relaci uživatele s zabezpečené stránky. V tomto bodě, on mohl podniknout jakékoli kroky na zabezpečené stránky, které uživatel by mohl mít.

Podmínky, za kterých by bylo možné tuto chybu zabezpečení využívané jsou spíše skličující. Uživatel se zlými úmysly by musel mít plnou kontrolu nad komunikací jiného uživatele s webu. Dokonce i tehdy, mohl uživatel se zlými úmysly, nevyžaduje pro počáteční připojení k zabezpečené stránky; Pouze oprávněný uživatel mohl udělat. Tato oprava odstraňuje chybu zabezpečení tím, že přidá podporu pro zabezpečené Session ID cookie v stránek ASP. (Secure sušenky již jsou podporovány pro všechny ostatní typy cookies, za všech jiných technologií v IIS). .

Podívejte se na FAQ pro více informací

Požadavky na

Windows NT 4.0, Internet Information Server 4.0

Podporované operační systémy

Podobný software

AK-Isolator
AK-Isolator

12 Jul 15

ActiveBypass
ActiveBypass

2 Nov 15

AK-Discovery
AK-Discovery

12 Jul 15

Ostatní software developer Microsoft

Komentáře k Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Komentáře nebyl nalezen
Přidat komentář
Zapnout obrázky!