发布日期：2000-01-15
更新日期：2000-01-16

受影响系统：

Microsoft Internet Information Server 5.0及更低版本

描述：

---

通过请求一个不存在的扩展名为idq或ida得文件，IIS会暴露文件在服务器上得物理地址.
这样会给攻击者提供了不必要的信息，而且，这对攻击一个Web站点来说，这是很有价值的第一步。

provided by:  <mailto:vanja@relaygroup.com> Vanja


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

通过请求如：
http://www.microsoft.com/anything.ida
或:
http://www.microsoft.com/anything.idq

一个远端用户可以收到类似：'The IDQ d:\http\anything.idq could not be found'的响应。
这样的一个响应就会让攻击者获得了Web站点的物理路径，并且还可以获得更多的有关该站点在服务器上的组织与结构。



建议：

---

暂无

浏览次数：7419
严重程度：0（网友投票）