Connect with us

technokrata

Microsoft ISA Server – fontos sérülékenység javítása jelent meg

Dotkom

Microsoft ISA Server – fontos sérülékenység javítása jelent meg

Lyukasnak bizonyult a Microsoft fejlesztette ISA Server is, de szerencsére a javítás már letölthető.

Az ISA Server számos HTML-alapú hibaoldalt tartalmaz, ami lehetővé teszi a szerver számára, hogy egy kliens webes erőforrás kérelmére testreszabott hibaüzenetet küldhessen. Ezen oldalak között azonban nem egyben létezik egy úgynevezett cross-site scipting sérülékenység.

Annak érdekében, hogy ezt kihasználhassa a támadó, először specifikus ISA szervert kell keresni, aminek a hozzáférési politikája lehetővé teszi a hiba kiaknázását. Ezt természetesen úgy is el lehet érni, hogy a támadó maga hostol egy ISA szervert, ahol saját maga megalkotja a sebezhetőség kihasználását biztosító szabályokat.

Ezt követően ügyesen kérelmet kell intézni, ami kivált egy oldal-visszautasítást. Ezt például úgy lehet elintézni, hogy a saját maga által hostolt ISA szerveren a támadó elhelyez egy linket, amire rá kell kattintania a felhasználónak – vagy akár e-mailben is elküldheti ezt az internetezők számára. Ez utóbbi esetben amint a felhasználó megnyitja a digitális levelet, a kártékony kódsort tartalmazó website automatikusan megnyitódik.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek