Microsoft IIS 3.0 .htr 变量遗漏导致拒绝服务攻…

发布日期：2000-07-18
更新日期：2000-07-18

受影响系统：

在IIS 3.0基础上升级的IIS 4.0/5.0
Microsoft IIS 3.0
Microsoft Windows NT 4.0 / 2000

描述：

---

Microsoft IIS 3.0 自带了一些HTR脚本，其中某个用来进行目录浏览的脚本运行时需要一个
变量来提供目录名，如果一个HTTP请求中这个变量的参数为空，将导致这个脚本陷入死循环状
态，导致系统资源耗尽,造成拒绝服务攻击。

<* 来源： Peter Grundl <peter.grundl@VIGILANTE.COM>
http://www.vigilante.com
*>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

建议：

---

微软建议删除HTR脚本映射，除非必须需要它。
英文版的补丁可以在这里下载：

Internet Information Server 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22709
Internet Information Server 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22708

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有