微软IIS6漏洞：服务器敏感信息易被窃

近日，安全专家对使用微软IIS 6互联网信息服务的管理员发出警告，指出Web服务器存在漏洞，可能导致黑客轻易访问并暴露密码保护的WebDAV文件和文件夹。这一警告引起了广泛关注。

据悉，这一漏洞源于WebDAV协议的部分进程命令在处理Unicode字符时的缺陷。黑客只需在Web地址中添加特定的Unicode字符，即可绕过系统的安全验证，访问那些受到密码保护的敏感文件。更令人担忧的是，这一漏洞还可能被用于向服务器上传恶意文件。

网络安全研究员Nikolaos Rangos指出：“Web服务器在处理并返回数据时，无法正确处理Unicode令牌，这为黑客提供了可乘之机。”针对这一问题，美国计算机应急准备小组已经提出建议，建议管理员禁用WebDAV协议，直至微软修复这一漏洞。不过值得注意的是，这一漏洞仅存在于IIS 6版本中，且WebDAV默认是关闭状态。

微软公司安全团队正在对这一报告进行深入调查。公司发言人表示：“我们目前尚不清楚是否有人利用这一漏洞发动攻击，也不清楚这对客户造成了何种影响。”尽管目前具体情况尚不明朗，但安全专家建议管理员尽快采取行动，加强服务器的安全防护。

根据的报告，黑客在尝试访问密码保护的protected.zip文件时，会用到四个关键的字符串。这个.zip文件位于名为protected的文件夹中。通过特定的Unicode字符转换，黑客能够欺骗IIS 6服务器，使其将虚假的文件路径为有效的请求。在未经验证的情况下，Web服务器就会发送返回数据包给黑客。

这种攻击方法不仅可以让黑客访问和查看受密码保护的WebDAV文件夹，还可以被用于上传恶意文件。安全公司Secunia对此漏洞评级为“中等危急”。

这一报告不禁让人想起2001年出现的IIS漏洞。当时，攻击者利用这一漏洞绕过IIS的路径检查，可以执行或打开任意文件。如今，随着网络技术的不断发展，黑客的攻击手段也在不断升级。管理员需要时刻保持警惕，加强服务器的安全防护，以应对日益严重的网络威胁。