Microsoft IIS5 "Oturum Kimliği Çerez İşaretleme" Güvenlik Açığı Yama Microsoft Internet Information Server'daki güvenlik açığını ortadan kaldırın.
Şimdi İndirin

Microsoft IIS5 "Oturum Kimliği Çerez İşaretleme" Güvenlik Açığı Yama Sıralama ve Özet

Microsoft IIS5 "Oturum Kimliği Çerez İşaretleme" Güvenlik Açığı Yama Etiketler

Sunucu Güvenlik Açığı İnternet Bilgi Sunucusu

Microsoft IIS5 "Oturum Kimliği Çerez İşaretleme" Güvenlik Açığı Yama Açıklama

Microsoft: Bu yama, kötü amaçlı bir kullanıcının başka bir kullanıcının güvenli web oturumunu çok kısıtlı bir koşul kümesi altında kaçırmasına izin veren Microsoft Internet Information Server'da bir güvenlik açığını ortadan kaldırır. Mevcut oturum tanımlayıcısını izlemek için bir oturum kimliği çerezinin kullanımını desteklemektedir. Bir web oturumu için. Bununla birlikte, IIS'teki ASP, RFC 2109'da tanımlandığı gibi güvenli oturum kimliği çerezlerinin oluşturulmasını desteklemez. Sonuç olarak, aynı Web sitesinde güvenli ve güvenli olmayan sayfalar aynı oturum kimliğini kullanır. Bir kullanıcı güvenli bir web sayfasına sahip bir oturum başlattıysa, SSL tarafından korunan bir oturum kimliği çerezi oluşturulur ve kullanıcıya gönderilir. Ancak, kullanıcı daha sonra aynı sitede güvenli olmayan bir sayfayı ziyaret ettiyse, aynı oturum kimliği çerezi, bu kez düz metin olarak değiştirilir. Kötü niyetli bir kullanıcının iletişim kanalı üzerinde tam kontrolü varsa, düz metin oturumu kimliği çerezini okuyabilir ve kullanıcının oturumuna güvenli sayfayla bağlantı kurmak için kullanabilir. Bu noktada, kullanıcının alabileceği güvenli sayfada herhangi bir işlem yapabilirdi. Bu güvenlik açığının sömürülebildiği koşullar oldukça göz korkutucu. Kötü niyetli kullanıcının, diğer kullanıcının web sitesiyle iletişiminin üzerinde tam kontrol sahibi olması gerekir. O zaman bile, kötü amaçlı kullanıcı başlangıç bağlantısını güvenli sayfaya yapamadı; Sadece meşru kullanıcı bunu yapabilir. Yama, ASP sayfalarında güvenli oturum kimliği çerezleri için destek ekleyerek güvenlik açığını ortadan kaldırır. (Güvenli çerezler, IIS'deki diğer tüm teknolojiler altında, diğer tüm çerez türleri için desteklenir). Daha fazla bilgi için SSS'yi okuyun.

Microsoft IIS5 "Oturum Kimliği Çerez İşaretleme" Güvenlik Açığı Yama İlgili Yazılım