 | Microsoft IIS5 "Session ID Cookie Marking" kwetsbaarheidspleisterElimineer een beveiligingslekbaarheid in Microsoft Internet Information Server. |
| Download nu | |
Microsoft IIS5 "Session ID Cookie Marking" kwetsbaarheidspleister Rangschikking & Samenvatting
Advertentie
- Vergunning:
- Free
- Naam uitgever:
- Microsoft
- Uitgever website:
- http://www.microsoft.com/
- Besturingssystemen:
- Windows 2000
- Bestandsgrootte:
- 550.95K
Microsoft IIS5 "Session ID Cookie Marking" kwetsbaarheidspleister Tags
Microsoft IIS5 "Session ID Cookie Marking" kwetsbaarheidspleister Beschrijving
Van Microsoft: deze patch elimineert een beveiligingsbeveiliging in Microsoft Internet Information Server die een kwaadwillende gebruiker zou toestaan om de beveiligde websessie van een andere gebruiker te kapen onder een zeer beperkte reeks omstandigheden. IIS ondersteunt het gebruik van een sessie-ID-cookie om de huidige sessie-ID te volgen voor een websessie. ASP in IIS ondersteunt echter niet de oprichting van Secure Session ID-cookies zoals gedefinieerd in RFC 2109. Dientengevolge, beveiligde en niet-beveiligde pagina's op dezelfde website gebruiken dezelfde sessie-ID. Als een gebruiker een sessie heeft geïnitieerd met een beveiligde webpagina, zou een sessie-ID-cookie worden gegenereerd en verzonden naar de gebruiker, beschermd door SSL. Maar als de gebruiker vervolgens een niet-beveiligde pagina op dezelfde site bezocht, zou dezelfde sessie-ID-cookie worden ingewisseld, deze keer in Plaintext. Als een kwaadwillende gebruiker volledige controle had over het communicatiekanaal, kon hij de PlainExt Session ID Cookie lezen en het gebruiken om verbinding te maken met de sessie van de gebruiker met de beveiligde pagina. Op dat moment zou hij enige actie kunnen ondernemen op de beveiligde pagina die de gebruiker kon nemen. De voorwaarden waaronder dit beveiligingslek zou kunnen worden uitgebuit, zijn nogal ontmoedigend. De kwaadwillende gebruiker moet volledige controle hebben over de communicatie van de andere gebruiker met de website. Zelfs dan kon de kwaadwillende gebruiker de eerste verbinding niet maken met de beveiligde pagina; Alleen de legitieme gebruiker kan dat doen. De patch elimineert het beveiligingslek door ondersteuning voor Secure Session ID-cookies in ASP-pagina's toe te voegen. (Veilige cookies worden al ondersteund voor alle andere soorten cookies, onder alle andere technologieën in IIS). Lees de FAQ voor meer informatie.
Microsoft IIS5 "Session ID Cookie Marking" kwetsbaarheidspleister Gerelateerde software
Captcha
Controleer of de gebruiker echt is, voorkomen van spammen en omleiden naar de webpagina ...
101 KB
phpcipciptie
PHPCIPCIPER - het beste hulpprogramma om uw waardevolle broncode te beschermen ...
14 KB