Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Screenshot Software:
Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch
Szczegóły programowe:
Wersja: (MS00-080)
Filmu: 6 Dec 15
Wywoływacz: Microsoft
Licencja: Wolny
Popularność: 75
Rozmiar: 2693 Kb

Rating: 2.0/5 (Total Votes: 2)

Ta poprawka eliminuje lukę w zabezpieczeniach serwera Microsoft Internet Information, który pozwoliłby złośliwemu użytkownikowi przejąć bezpiecznej sesji Web innego użytkownika pod bardzo ograniczonym zestawem okoliczności.

IIS obsługuje użycie cookie ID sesji, aby śledzić aktualny identyfikator sesji do sesji internetowej. Jednak ASP w usługach IIS nie obsługuje tworzenie bezpiecznych plików cookie identyfikator sesji, jak określono w dokumencie RFC 2109. W rezultacie, bezpieczne i niezabezpieczone strony na tej samej stronie internetowej wykorzystać ten sam identyfikator sesji. Jeżeli użytkownik rozpoczął sesję z bezpiecznej strony internetowej, plik cookie identyfikator sesji zostanie wygenerowane i wysłane do użytkownika, chronionym przez protokół SSL. Ale jeśli użytkownik następnie odwiedził niezabezpieczonego strony w tym samym miejscu, ten sam identyfikator sesji cookies będą wymieniane, tym razem w postaci zwykłego tekstu. Jeśli złośliwy użytkownik miał pełną kontrolę nad kanałem komunikacji, mógł przeczytać zwykłego tekstu ID sesji plik cookie i używać go podłączyć do sesji użytkownika z bezpiecznej stronie. W tym momencie mógł podejmować żadnych działań, na bezpiecznej stronie, że użytkownik może podjąć.

Warunki, w których luka ta może zostać wykorzystana, są raczej trudne. Szkodliwy użytkownik musiałby mieć pełną kontrolę nad komunikacji innego użytkownika z witryny sieci Web. Nawet wtedy, szkodliwy użytkownik nie może dokonać połączenia początkowego do bezpiecznej strony; tylko legalne użytkownik może zrobić. Łatka eliminuje lukę, dodając wsparcie dla bezpiecznej sesji plików cookie ID na stronach ASP. (Secure ciasteczka już są obsługiwane w przypadku wszystkich innych typów plików cookie, na podstawie wszystkich innych technologii w IIS). .

Zobacz w FAQ Więcej informacji

​​ Wymagania :

Windows NT 4.0, Internet Information Server 4.0

Obsługiwane systemy operacyjne

Podobne oprogramowanie

Trusteer Apex
Trusteer Apex

10 Dec 14

X-Lizard PM
X-Lizard PM

11 Jul 15

Start-OVER
Start-OVER

20 Sep 15

AK-Isolator
AK-Isolator

12 Jul 15

Inne programy z deweloperem Microsoft

Komentarze do Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

Komentarze nie znaleziono
Dodaj komentarz
Włącz zdjęć!