微软IIS跨站脚本攻击.shtml漏洞

漏洞信息详情

微软IIS跨站脚本攻击.shtml漏洞

• CNNVD编号：CNNVD-200010-017
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2000-0746
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2000-10-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Posted to Bugtraq …

IIS 4.0和5.0版本存在一些漏洞，没有正确防止跨站脚本攻击（CSS）。恶意web网站操作员可以利用该漏洞在信任网站连接中嵌入脚本，这些脚本是由客户端错误信息未经引用而返回的，然后客户端就可以像信任网站一样在相同环境中执行这些脚本。该漏洞也称为“IIS Cross-Site Scripting”漏洞。

The original patches released by Microsoft have been reported to cause the server to consume excessive system resources, resulting in a denial of service. Microsoft has addressed both issues with the following patches:

来源: BID
名称: 1595
链接:http://www.securityfocus.com/bid/1595

来源: BID
名称: 1594
链接:http://www.securityfocus.com/bid/1594

来源: MS
名称: MS00-060
链接:http://www.microsoft.com/technet/security/bulletin/ms00-060.asp

来源: BUGTRAQ
名称: 20000821 IIS 5.0 cross site scripting vulnerability – using .shtml files or /_vti_bin/shtml.dll
链接:http://www.securityfocus.com/templates/archive.pike?list=1&msg=39A12BD6.E811BF4F@nat.bg