Symptomen

In RFC 1738 wordt gespecificeerd dat webservers het gebruik van hexadecimale cijfers moeten toestaan in de invoer van URL's door deze te laten voorafgaan door het zogeheten 'escape'-teken (een procentteken).


Microsoft Internet Information Server (IIS) voldoet aan de RFC 1738-specificatie, maar staat tevens andere tekens toe na het procentteken dan hexadecimale cijfers. Omdat enkele hiervan kunnen worden omgezet in afdrukbare ASCII-tekens, kunnen deze tekens ook worden gebruikt voor het opgeven van bestanden.


Het probleem kan optreden wanneer u de Internet Database Connector (IDC) gebruikt om koppelingen te maken, of wanneer u de retourwaardeargumenten gebruikt die worden doorgegeven aan andere documenten. In dat geval kunt u geen argumenten doorgeven die spaties bevatten.


Het is mogelijk dat IIS 4.0 andere tekens dan hexadecimale tekens die worden voorafgegaan door een procentteken, onjuist omzet. Zo wordt %3p bijvoorbeeld omgezet in een \"I\".


Deze zwakke plek heeft geen nadelige invloed op IIS. Zelfs wanneer een bestandsnaam wordt opgegeven op deze alternatieve manier, worden de IIS-toegangsmechanismen niet genegeerd. Software van derden die wordt uitgevoerd op IIS en waarbinnen geen standaardisatie wordt uitgevoerd, wordt hierdoor echter wel beïnvloed.