VULHUB ™

PWS(Personal Web Server)是Microsoft出品的一个简单的WEB服务器，随Windows NT98/2000和FrontPage发售。 PWS实现上存在一个问题，允许在远程攻击者通过在URL中插入特殊请求访问WEB上级目录的文件，造成目录遍历。 在PWS中，远程用户可以通过在请求的URLs后字符串 /..../ 获得与web内容相同逻辑驱动器下的文件/目录的非授权访问，通过这个方法还可以查看隐藏文件。攻击者必须知道所要的文件名和路径才能完成这种攻击。

PWS(Personal Web Server)是Microsoft出品的一个简单的WEB服务器，随Windows NT98/2000和FrontPage发售。 PWS实现上存在一个问题，允许在远程攻击者通过在URL中插入特殊请求访问WEB上级目录的文件，造成目录遍历。 在PWS中，远程用户可以通过在请求的URLs后字符串 /..../ 获得与web内容相同逻辑驱动器下的文件/目录的非授权访问，通过这个方法还可以查看隐藏文件。攻击者必须知道所要的文件名和路径才能完成这种攻击。