home *** CD-ROM | disk | FTP | other *** search
/ Black Crawling Systems Archive Release 1.0 / Black Crawling Systems Archive Release 1.0 (L0pht Heavy Industries, Inc.)(1997).ISO / advisories / ASP.TXT next >
Text File  |  1997-07-17  |  2KB  |  60 lines
  1.  
  2.                        L0pht Security Advisory
  3.  
  4.                     Advisory released Mar 19 1997
  5.  
  6.                   Application: Microsoft IIS 3.0
  7.  
  8.              Vulnerability Scope: IIS 3.0 w/latest hot-fixes
  9.                                   dated Feb 27 14:22:00
  10.  
  11.           Severity: Users can read the server side script
  12.                     in .asp, .ht., .id, .PL files
  13.                                   
  14.                       Author: weld@l0pht.com
  15.  
  16. Overview:
  17.  
  18. Microsofts IIS 3.0 supports server side scripting using "Active Server
  19. Pages" or .asp files.  These files are meant to execute and not be
  20. visible to the user.  These scripts may contain sensitive information
  21. such as SQL Server passwords. These files can be downloaded and
  22. viewed instead of executed by replacing '.' in a URL with a '%2e'.
  23.  
  24. Description:
  25.  
  26. A problems was discovered in IIS 3.0 that allowed users to read the
  27. contents of .asp files by appending a '.' or a series of '.'s to the
  28. end of a URL:
  29.  
  30.           http://www.mycompany.com/default.asp 
  31. becomes
  32.           http://www.mycompany.com/default.asp. 
  33.  
  34. Microsoft acknowledged the problem and released a hot-fix patch to IIS 3.0.
  35. This is available from
  36.  
  37.     http://www.microsoft.com/iis/iisnews/hotnews/security.htm
  38.  
  39. This hot-fix solved the trailing '.' problem but opened up a new hole which
  40. allows the same results - viewing the .asp file instead of executing it.
  41.  
  42. This is accomplished by replacing the '.' in the filename part of a URL
  43. with a '%2e', the hex value for '.':
  44.  
  45.           http://www.mycompany.com/default.asp
  46. becomes
  47.           http://www.mycompany.com/default%2easp 
  48.  
  49. Your browser will prompt you to save the file to disk where you can then
  50. view the contents of the .asp file.
  51.  
  52. Web sites that have not installed the Microsoft IIS 3.0 hot-fix are not
  53. affected by this problem although the trailing '.' method still works to
  54. display the contents of the .asp file.
  55.  
  56. Microsoft has been notified of this problem.
  57.  
  58. ---
  59. Check out http://www.l0pht.com/advisories.html for other l0pht advisories
  60. ---