|
|||||||||
 |
|
||||||||
|
|
||||||||||||||
| | 网站首页 | 关于我们 | 工作动态 | 风险评估 | 信息安全管理 | 标准 | 培训认证 | 方案产品 | 图片 | 下载 | 论坛 | | ||
 |
||
|
||
|
|||||
| Microsoft索引服务查询验证跨站脚本执行漏洞(MS06-053) | |||||
作者:Internet 文章来源:Internet 点击数: 更新时间:2006-9-22  |
|||||
|
更新日期:2006-09-13 受影响系统: Microsoft Windows XP SP2描述: BUGTRAQ ID: 19927 CVE(CAN) ID: CVE-2006-0032 Microsoft索引服务可以为文件系统和虚拟Web服务器创建内容和属性的索引目录。 索引服务没有正确地验证查询参数,可能允许跨站脚本执行。 如果用户受骗访问了恶意站点的话,就可能允许攻击者代表用户运行客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。成功攻击要求可以通过IIS访问索引服务。 <*来源:Eiji James Yoshida (ptrs-ejy@bp.iij4u.or.jp) 链接:http://secunia.com/advisories/21861 http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx http://www.us-cert.gov/cas/techalerts/TA06-255A.html *> 建议: 临时解决方法: * 不要从用作服务器的系统浏览Internet * 禁用Internet Explorer中的页面编码自动检测 * 在运行IIS 5.0的Windows 2000上使用URLScan * 从运行IIS 5.0的Windows 2000上的Internet信息服务中删除索引服务器ISAPI扩展脚本映射 * 删除索引服务 * 从运行IIS 6.0的Windows 2003上的IIS中禁用索引服务扩展 厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS06-053)以及相应补丁: MS06-053:Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685) 链接:http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx |
|||||
| 文章录入:admin 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | | |||
|
