Microsoft IIS 認証方法の列挙
low Nessus プラグイン ID 11871
Language:
概要
リモート Web サーバーは、情報漏洩脆弱性の影響を受けます。説明
リモートホストが実行していると考えられるバージョンの IIS によって、リモートユーザーは、極秘 Web ページで、どの認証スキームが必要かを判断できます。つまり、意図的に無効な認証情報を使用して有効な Web ページをリクエストすることで、認証スキームが使用されているかを確認できます。これは、既知のUSerID に対するブルートフォース攻撃に使用できます。
ソリューション
アプリケーションで可能な場合、IIS のプロパティインターフェイスで使用されていない認証方法をすべて無効にしてください。参考資料
プラグインの詳細
深刻度: Low
ID: 11871
ファイル名: iis_auth_scheme.nasl
バージョン: 1.30
タイプ: remote
ファミリー: Web Servers
公開日: 2003/10/8
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Low
基本値: 2.6
現状値: 2
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:microsoft:iis
必要な KB アイテム: www/iis, Settings/ParanoidReport
除外される KB アイテム: global_settings/supplied_logins_only
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2002/3/5
参照情報
CVE: CVE-2002-0419
BID: 4235