unicode编码漏洞

unicode编码漏洞是指在iis4 和iis5中unicode编码的一个bug.这个bug使得人们可以在ie地址栏中构造一个特殊的地址来执行并访问系统上的一些程序例如cmd.exe(以web权限).这个漏洞当时影响非常广泛,各种语言的操作系统都受影响.中美黑客大战时大多数中国黑客都是通过这个漏洞来修改主页的.

在iis中要直接输入"../"这些目录跳转的命令是会被拒绝的但是当输入"..%c1%1c.."这样的编码的时候iis无法认出是目录跳转命令.

%c1%1c被编译成"/"

这样就产生了这个漏洞. 这个漏洞是我们中国的袁哥发现的.