我们今天是要和大家一起讨论的是Microsoft IIS认证处理漏洞，　我在一个信誉度很好的网站找到一个关于Microsoft IIS认证处理漏洞 ，觉得挺好，今天拿出来以供大家分享，以下就是正文的详细内容的介绍。

受影响系统：

Microsoft IIS 4.0

- Microsoft Windows NT 4.0 SP6a

- Microsoft Windows NT 4.0 SP6

- Microsoft Windows NT 4.0 SP5

- Microsoft Windows NT 4.0 SP4

- Microsoft Windows NT 4.0 SP3

- Microsoft Windows NT 4.0 SP2

- Microsoft Windows NT 4.0 SP1

- Microsoft Windows NT 4.0

Microsoft IIS 5.0

- Microsoft Windows 2000 SP3

- Microsoft Windows 2000 Server SP2

- Microsoft Windows 2000 Server SP1

Microsoft IIS 5.1

- Microsoft Windows XP

描述：

Microsoft IIS是Windows系统默认的主服务器程序，它提供Web、Mail、Ftp、Nntp服务。

Microsoft IIS认证过程实现上存在问题，在某些情况下，远程攻击者可以得到IIS服务器内部地址、NetBIOS名等相关信息，或者暴力猜测用户名和口令。

IIS服务器支持匿名访问、基本认证和使用NTLM方式的Windows集成认证，通过发送包含认证信息的HTTP请求，远程攻击者可以强制让服务器以攻击者指定的方法认证自己，这样攻击者就可以确定服务器的认证方法的配置情况。

如果服务器支持基本认证方式，并且处于防火墙或者NAT保护，攻击者就可以发送一个URL请求，并将Host域置空，Web服务器返回的信息中会包含其内部地址信息。

如果服务器支持NTMLM认证方式，攻击者可以从Web服务器返回的信息中获取其NetBIOS名以及所属域的信息。

攻击者也可能利用这个问题对服务器上的用户名和口令进行暴力猜解。

<*来源：David Litchfield (david@nextgenss.com)

链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0030.html

http://www.nextgenss.com/advisories/iisauth.txt

*>

以上的相关内容就是对Microsoft IIS认证处理漏洞的介绍，望你能有所收获。