微軟公司的IIS 6漏洞近日被被公諸于眾，安全研究人員Nikolaos Rangos公布了關于該漏洞的詳細信息。通過發(fā)送專門設計的HTTP請求到服務器，他能夠在服務器上查看和上傳文件，該攻擊利用了微軟的軟件程序Unicode令牌。

美國計算機應急準備小組表示，該漏洞正在被攻擊者用于在線攻擊。

微軟公司在一份聲明中表示，沒有聽說任何關于類似攻擊的消息，但是他們正在調查Rangos公布的消息。

該漏洞對已經啟用WebDAV(基于web的分布式創(chuàng)作與版本控制)協議的用戶有影響，用戶啟用該協議來通過web分享文件。

這讓攻擊者有機可乘，攻擊者可以在未經授權的情況下查看服務器上的受保護的文件，并可以用來上傳文件，Thierry Zoller表示，這名獨立安全研究人員證實了Rangos的結論。然而，Zoller表示，他暫時沒有發(fā)現任何利用這種漏洞在IIS服務器上運行未經授權軟件的跡象。

Zoller表示，IIS5和IIS7似乎不容易受到這種攻擊，但是這將影響到使用WebDAV技術的其他微軟產品，他將暫時禁用webDAV并等待微軟公司的安全補丁。

在一次電子郵件采訪中，Rangos表示，即使啟用了WebDAV，在IIS6上運行的Exchange Server和sharePoint Server也不會受到這個安全漏洞的影響。

思科公司也在其官網上發(fā)出了類似警告，“在IIS服務器(使用webDAV)上有敏感信息的網站應實行有效的緩解措施，因為攻擊代碼已經被公開了。”

服務器的安全問題一直是令人頭疼的問題，希望大家多多掌握這方面的知識，以備不時之須。

【編輯推薦】

1. 網絡服務器應如何防止被黑
2. 企業(yè)用戶防御網絡威脅十要素
3. 六大網絡安全威脅發(fā)展趨勢