Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 5.108 Ausnutzen von systemspezifischen Schwachstellen des IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 5.108 Ausnutzen von systemspezifischen Schwachstellen des IIS

Wie bei fast jeder Software zeigen sich viele kleinere Programmier- und Entwicklungsfehler erst im praktischen Einsatz. Auch bei Windows und beim IIS werden immer wieder systemspezifische Schwachstellen entdeckt, die auf Programmier- und Entwicklungsfehler zurückzuführen sind. Unter bestimmten Voraussetzungen wird z. B. ein Buffer-Overflow verursacht. Insbesondere beim Zusammenwirken mit anderen Sofware-Komponenten besteht die Gefahr, dass Parameter ungenügend geprüft werden und die Funktionsweise des System beeinflussen können.

Sicherheitsrisiken entstehen nicht nur durch Programmier- und Entwicklungsfehler, auch vorhandene Beispielanwendungen und Scriptdateien können für einen Angriff auf das System ausgenutzt werden.

Bei der Standardinstallation eines IIS wird eine Reihe von Beispielanwendungen und Scriptdateien mit installiert. Diese Beispiele zeigen dem Administrator bzw. Entwickler Anwendungsmöglichkeiten des Web-Servers auf oder dienen als Vorlage für erweiterte Funktionen, z. B. Suchfunktionen. Viele Administratoren und Entwickler haben keine Kenntnisse über den vollständigen Funktionsumfang und ggf. die Existenz solcher Beispielanwendungen. Da diese Anwendungen und Scriptdateien u. U. von einem Angreifer ausgenutzt werden können, geht von ihnen eine erhebliche Gefahr für das Informationssystem aus.

Beispiele: