日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
兩大IIS解析漏洞解析

IIS解析漏洞式什么?在 Windows 2003 IIS 6.0 下有兩個漏洞,微軟一直沒有給出補丁。

專注于為中小企業(yè)提供網(wǎng)站設計制作、做網(wǎng)站服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)農(nóng)安免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了1000多家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

IIS解析漏洞1:

在網(wǎng)站下建立文件夾的名字為 *.asp、*.asa 的文件夾,其目錄內(nèi)的任何擴展名的文件都被 IIS 當作 asp 文件來解析并執(zhí)行。例如創(chuàng)建目錄 vidun.asp,那么 /vidun.asp/1.jpg 將被當作 asp 文件來執(zhí)行。

那么我們來測試一下,在網(wǎng)站下創(chuàng)建一個目錄“vidun.asp”,并在目錄下創(chuàng)建一個文件名為“1.jpg”的文件(假設是用戶作為頭像上傳上來的), 用記事本打開“1.jpg”文件,輸入:

 
 
 
 
    
  
  
  
  
  1. Now is: <%=Now()%> 
    2.

如圖所示,如果其中的 asp 腳本能被執(zhí)行,那么恭喜您:漏洞存在。

打開瀏覽器,輸入地址,執(zhí)行效果如下:

IIS解析漏洞2:

網(wǎng)站上傳圖片的時候,將網(wǎng)頁木馬文件的名字改成“*.asp;.jpg”,也同樣會被 IIS 當作 asp 文件來解析并執(zhí)行。例如上傳一個圖片文件,名字叫“vidun.asp;.jpg”的木馬文件,該文件可以被當作 asp 文件解析并執(zhí)行。

在網(wǎng)站目錄下創(chuàng)建文件“vidun.asp;.jpg”,代碼內(nèi)容與上面 1.jpg 相同,打開瀏覽器,輸入地址,執(zhí)行效果如下 :

IIS解析漏洞實在太可怕了,足以讓每一個站長望而崩潰,更讓站長崩潰的是微軟至今沒有發(fā)布補??!

【編輯推薦】

  1. 加固服務器防網(wǎng)絡被掛馬
  2. 索尼再遭黑客襲擊 服務器被用于釣魚
  3. 十大步驟助您打造安全個人Web服務器
  4. 靈活安全 力登推出全新服務器遠程管理設備
  5. 淺析Xen虛擬環(huán)境下的郵件服務器數(shù)據(jù)安全解決方案 

本文標題:兩大IIS解析漏洞解析
文章位置:http://m.5511xx.com/article/copsogc.html