受影响的版本:Microsoft Internet Information Server 5.0
远程:YES / 本地:未知
内容再摘要:
在IIS4.0中,存在着一个漏洞可以使用户在浏览器中输入http://www.xxx.com/*.idc得到服务器的物理路径的信息。在IIS5.0中,有出现了类似的一个问题:在浏览器中输入http://www.xxx.com/1.idq将会出现:
The IDQ file d:\http\products\developer\devonly\prodinfo\1.idq could not be found的提示信息。
如果输入http://www.microsoft.com/1.ida将出现The IDQ file d:\http\1.idq could not be found的提示信息。
这就意味着服务器的真实路径会被暴露无遗,便于入侵者摸清楚web网站的结构,大大方便其修改主页。
|