مايكروسوفت IIS5 "بمناسبة ملف تعريف الارتباط بالجلسة IIS5" قم بإزالة ثغرة أمنية في Microsoft Internet Internet Server.
التحميل الان

مايكروسوفت IIS5 "بمناسبة ملف تعريف الارتباط بالجلسة IIS5" الترتيب والملخص

مايكروسوفت IIS5 "بمناسبة ملف تعريف الارتباط بالجلسة IIS5" العلامات

ضعف الخادم معلومات معلومات الإنترنت

مايكروسوفت IIS5 "بمناسبة ملف تعريف الارتباط بالجلسة IIS5" وصف

من Microsoft: هذا التصحيح يلغي ثغرة أمنية في Microsoft Internet Information Server الذي من شأنه أن يسمح للمستخدم الضار بخطف جلسة الويب الآمنة الخاصة بشركة مستخدم أخرى بموجب مجموعة مقيدة للغاية من الظروف. يؤيدIIS يدعم استخدام ملف تعريف ارتباط معرف الجلسة لتتبع معرف الجلسة الحالية للحصول على جلسة ويب. ومع ذلك، لا يدعم ASP في IIS إنشاء ملفات تعريف الارتباط آمنة للجلسة معرف على النحو المحدد في RFC 2109. كنتيجة لذلك، استخدم صفحات آمنة وغير آمنة على نفس موقع الويب نفس معرف الجلسة نفسها. إذا بدأ المستخدم جلسة مع صفحة ويب آمنة، فسيتم إنشاء ملف تعريف ارتباط معرف جلسة وإرساله إلى المستخدم، محمي بواسطة SSL. ولكن إذا قام المستخدم في وقت لاحق بزيارة صفحة غير آمنة في نفس الموقع، فسيتم تبادل ملف تعريف ارتباط معرف الجلسة نفسه، وهذه المرة في حالة عمل. إذا كان لدى المستخدم الخبيث سيطرة كاملة على قناة الاتصالات، فيمكنه قراءة ملف تعريف ارتباط معرف جلسة الخالص واستخدامه للاتصال بجلسة المستخدم مع الصفحة الآمنة. عند هذه النقطة، يمكن أن يأخذ أي إجراء بشأن الصفحة الآمنة التي يمكن للمستخدم أن يأخذها المستخدم. الظروف التي يمكن بموجبها استغلال هذه الثغرة الأمنية شاقة. سيحتاج المستخدم الضار إلى التحكم الكامل في اتصالات المستخدم الأخرى باستخدام موقع الويب. حتى بعد ذلك، تعذر على المستخدم الخبيث إجراء الاتصال الأولي بالصفحة الآمنة؛ فقط المستخدم الشرعي يمكن أن يفعل ذلك. يلغي التصحيح الضعف عن طريق إضافة دعم ملفات تعريف الارتباط معرف جلسة آمنة في صفحات ASP. (يتم دعم ملفات تعريف الارتباط الآمنة بالفعل لجميع الأنواع الأخرى من ملفات تعريف الارتباط الأخرى، تحت جميع التقنيات الأخرى في IIS). قراءة التعليمات للحصول على مزيد من المعلومات.

مايكروسوفت IIS5 "بمناسبة ملف تعريف الارتباط بالجلسة IIS5" برامج ذات صلة