В IIS открыли очередной
баг- изуверски простой по сути. Все дело в
пользователе IUSR_COMPUTERNAME, который
используется по умолчанию для доступа всех
анонимных пользователей к web-серверу. Если
этот пользователь блокируется после
нескольких попыток ввода пароля (это
выставляется в админовских настройках -
Account lockout threshold), то доступ к серверу легко
можно прекратить, правда сделать это может
только человек, находящийся внутри сетки.
Реализуется  это элементарно  – надо
сделать N+1 попыток прилогиниться к серверу
(\\192.168.0.1\admin$, N – количество допустимых
попыток ввода пароля) с именем IUSR_COMPUTERNAME и
неправильным паролем. Пароль заблокируется
и уже НИКТО не сможет добраться до
содержимого web-сервера.

Оставить мнение