|
IIS 跨站脚本执行(Cross Site Scripting)漏洞
涉及程序:
IIS
描述:
IIS 跨站脚本执行(Cross Site Scripting)漏洞
详细:
Microsoft IIS 被发现存在跨站脚本执行(Cross Site Scripting)的漏洞
即如果在一个请求信息中没有进行元字符(metacharacters)的转换,当这个
请求被递交给IIS时,将会返回一个"302 Object Moved"的错误信息给客户端。
像如果请求信息中包含以下类似统一资源标识符(URI)时,漏洞就会显示出来:
GET /existing directory name?">^script^alert("aaa"); ^/script^
受影响版本:
------------------
Microsoft Internet Information Server 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
解决方案:
参考微软安全公告MS02-018,下载补丁:
Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931
Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
Microsoft IIS 5.1:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857 |