受影响系统:
Microsoft Internet Information Server 5.0及更低版本
描述:
通过请求一个不存在的扩展名为idq或ida得文件,IIS会暴露文件在服务器上得物理地址.
这样会给攻击者提供了不必要的信息,而且,这对攻击一个Web站点来说,这是很有价值的第一步。
provided by: Vanja
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
通过请求如:
http://www.microsoft.com/anything.ida
或:
http://www.microsoft.com/anything.idq
一个远端用户可以收到类似:'The IDQ d:\http\anything.idq could not be found'的响应。
这样的一个响应就会让攻击者获得了Web站点的物理路径,并且还可以获得更多的有关该站点在服务器上的组织与结构。
建议:
暂无
相关IIS暴露Web站点路径结构