漏洞标题
N/A
漏洞描述信息
微软互联网信息服务(IIS)5.0中的未记录的Track方法将原始请求的内容返回在响应的正文中,这使得远程攻击者更容易窃取cookie和身份凭据,或绕过HttpOnly保护机制,通过使用Track读取响应中返回的HTTP头的内容,这种方法类似于使用HTTP trace进行跨站点追踪(XST)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The undocumented TRACK method in Microsoft Internet Information Services (IIS) 5.0 returns the content of the original request in the body of the response, which makes it easier for remote attackers to steal cookies and authentication credentials, or bypass the HttpOnly protection mechanism, by using TRACK to read the contents of the HTTP headers that are returned in the response, a technique that is similar to cross-site tracing (XST) using HTTP TRACE.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
microsoft internet_information_services 信息泄露漏洞
漏洞描述信息
Microsoft IIS是一款微软开发的WEB服务程序。 Microsoft Internet Information Services (IIS) 5.0版本中的无正式文件的TRACK方法会在响应正文中返还原始请求的内容,这使得远程攻击者可以通过使用TRACK读取HTTP头的内容,来窃取cookies和身份认证信任证书,或绕过HttpOnly保护机制。HTTP头会在响应在反馈回来。在技术上,该漏洞与跨站脚本攻击漏洞相似。
CVSS信息
N/A
漏洞类别
信息泄露