Microsoft IIS Tilde Enumeration

Název: Microsoft IIS Tilde Enumeration
Zařazení: Únik informací
Závažnost: Nízká

Popis:
 

Webový server IIS od Microsoftu trpí již od své páté verze zranitelností Microsoft IIS tilde vulnerability, která útočníkům umožňuje enumerovat názvy složek a souborů uložených na zranitelném serveru.

Přestože novější verze IIS již neumožňují enumerovat soubory s krátkým názvem pomocí GET požadavků, stále je možné i na IIS 8.5 získat soupis těchto souborů použitím ostatních metod, jako jsou TRACE, OPTIONS, DEBUG, apd.

Útočníci mohou znužitím této zranitelnosti odhalit různé konfigurační a datové soubory, které měly zůstat jejich zraku utajeny.