Très rigolo ce petit Proof of Concept sur les serveurs IIS qui permet de trouver des fichiers ou des dossiers cachés simplement en lui passant une URI avec un tilde ~ et un astérisque (*). En faisant cela, le serveur recherchera le pattern parmi les fichiers présents sur le serveur et renverra une réponse positive si ce fichier existe. De quoi permettre à un attaquant de localiser plus facilement et rapidement un dossier ou un fichier caché sur le serveur.
Voici une liste d’exemple de patterns :
Voici ce que ça donne en vidéo :
Le chercheur qui a mis au jour cette faille a aussi trouvé une possibilité d’attaque DoS sur des serveurs .NET grâce à un simple tilde… marrant 😉
Nintendo Switch Edition Anniversaire Super Mario
PROMO: 309,99 € soit 10% de réduction
1 paire de manettes Joy-Con rouge et bleu + 1 support Joy-Con
1 station d’accueil Nintendo Switch + 1 câble HDMI
1 adaptateur secteur + 1 paire de dragonnes Joy-Con + 1 pochette de transport assortie
Précommandes ouvertes