Una vez más los archivos del servidor web de Microsoft pueden ver su código descubierto mediante una sencilla modificación de la url. Según ha comprobado Hispasec a lo largo del día son múltiples los servidores afectados que dejan al descubierto la seguridad de su sitio web.

Este problema puede poner al descubierto las passwords de las bases de datos, passwords administrativas, y detalles del funcionamiento del servidor web o de la lógica de negocio del sitio. Para explotar la vulnerabilidad bastará con solicitar un nombre de archivo existente, por ejemplo global.asa seguido de el carácter + y la extensión «.htr».

El ataque es tan sencillo como construir la url de la siguiente forma:

http://www.servidor.afectado.com/global.asa+.htr

Si quereis más información leer esta noticia