发布日期：2000-10-25
更新日期：2000-10-25

受影响系统：

Microsoft IIS 5.0
   + Microsoft Windows NT 2000
Microsoft IIS 4.0
   + Microsoft Windows NT 4.0
   + Microsoft BackOffice 4.5
      - Microsoft Windows NT 4.0
   + Microsoft BackOffice 4.0
      - Microsoft Windows NT 4.0

描述：

---

在特定情况下，微软IIS会发送本来被标记为加密的会话标识Cookie（Session ID Cookie）的明文内容。

网站可能会需要状态信息以便区分不同的用户，特别是当它承受大的流量负载时。这在电子商务网站中特别盛行，因为它们需要在用户切换浏览页面时跟踪记录每个人的购物单。会话标识Cookie可以用作获得状态信息的一种方法。它在用户浏览站点时保存用户身份信息。

当用户发起一个用SSL加密的web会话时，会话标识Cookie应从此被标记为加密的（参看RFC 2109：http://www.ietf.org/rfc/rfc2109.txt）。但当用户访问存放在IIS中的ASP页面时情况却不是这样。当用户在加密的web会话期间察看ASP文档时，会话标识Cookie应被标记为非加密的。如果用户访问该网站的非加密部分，对用户和网站之间的网络数据流有存取权限的恶意第三方就能够读取cookie的内容，因为它将以明文形式被发送。攻击者从而能够利用会话标识Cookie中的凭证来成功地劫持会话并以原来的用户身份采取进一步的行动。

<* 来源：ACROS Security <security@acros.si> 和 C. Conrad Cady *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

    参看漏洞描述。


建议：

---

NSFOCUS建议您在访问某个加密的页面之后、继续访问其它非加密的页面之前关闭正在运行的浏览器的所有副本，以便销毁会话标识Cookie，或者暂时禁止浏览器接受Cookie。

厂商补丁：

微软已发布如下补丁来消除该漏洞：

Microsoft IIS 5.0:

Microsoft patch Q274149_W2K_SP2_x86_en
http://download.microsoft.com/download/win2000platform/Patch/Q274149/NT5/ENUS/Q274149_W2K_SP2_x86_en.EXE

Microsoft IIS 4.0:

Microsoft patch secsesi
http://download.microsoft.com/download/winntsp/Patch/Q274149/NT4/ENUS/secsesi.exe

浏览次数：5901
严重程度：0（网友投票）