Microsoft IIS4 Session ID Cookie Marking Vulnerability Patch

이 패치는 악의적 인 사용자가 상황의 매우 제한된 조건에서 다른 사용자의 보안 웹 세션을 하이재킹 할 수 있도록 할 Microsoft 인터넷 정보 서버의 보안 취약점을 제거합니다. IIS가 현재 세션 식별자를 추적 할 수있는 세션 ID 쿠키의 사용을 지원합니다 웹 세션. 그 결과, 같은 웹 사이트의 보안 및 비보안 페이지는 동일한 세션 ID를 사용할 같이 RFC 2109에서 정의 된 바와 같은 그러나, IIS에서 ASP 보안 세션 ID 쿠키의 작성을 지원하지 않는다. 사용자는 보안 웹 페이지와 세션을 개시하면, 세션 ID 쿠키가 생성 SSL에 의해 보호되는 사용자에게 전송 될 것이다. 사용자가 이후에 같은 사이트에서 보안되지 않은 페이지를 방문하는 경우에, 동일한 세션 ID 쿠키는 일반 텍스트로이 시간을 교환 할 것입니다. 악의적 인 사용자가 통신 채널을 완벽하게 제어 할 수 있던 경우에, 그는 일반 텍스트 세션 ID 쿠키를 읽고 보안 페이지와 사용자의 세션에 연결하는 데 사용할 수 있습니다. 그 시점에서, 그는 사용자가 취할 수있는 보안 페이지에서 모든 작업을 수행 할 수 있습니다.

이 취약점이 악용 될 수있는 조건은 오히려 어려운 있습니다. 악의적 인 사용자는 웹 사이트와 다른 사용자의 통신을 완벽하게 제어 할 필요가있다. 그렇다하더라도, 악의적 인 사용자는 보안 페이지에 초기 연결을 만들 수 없습니다; 유일한 합법적 인 사용자는 그렇게 할 수 있습니다. 패치는 ASP 페이지에서 보안 세션 ID 쿠키에 대한 지원을 추가하여 취약점을 제거합니다. (보안 쿠키는 이미 IIS에서 다른 모든 기술에서, 쿠키의 모든 다른 유형의 지원).

자세한 내용은 FAQ를 참조하십시오

요구 사항 : 있습니다.

윈도우 NT 4.0, 인터넷 정보 서버 4.0