IIS解析漏洞之我见

IIS解析漏洞出现,导致IIS被黑,服务器被入侵,这个漏洞是所有的win2003服务器,iis6都存在的漏洞,iis解析漏洞。很多站长的心血一去不复还。

什么是IIS解析漏洞呢?
    在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 test.asp,那么 /test.asp/1.jpg 将被当作 asp 文件来执行。
    那么我们来测试一下,在网站下创建一个目录“test.asp”,并在目录下创建一个文件名为“1.jpg”的文件(假设是用户作为头像上传上来的), 用记事本打开“1.jpg”文件,输入:
点击查看原图
上传到空间,输入地址,如果其中的 asp 脚本能被执行,那么恭喜您:漏洞存在。
点击查看原图
这图已经被成功执行。

网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg”,也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件,名字叫“test.asp;.jpg”的木马文件,该文件可以被当作 asp 文件解析并执行。
在网站目录下创建文件“test.asp;.jpg”,输入地址执行,那么也和上面的结果一样。

解决方法:由于微软一直没有给出补丁。
1.首先确定自己用的cms,或者其他的网站系统有没有补上这个漏洞。补上了就OK了。没补上的,先不要开上传功能。
2.没补的,可以用软件,防火墙。网上这个很多,自己看着办
3.自己百度去搜索,关于这个的解决方法
  • 下载列表

目前有 0 条评论

昵称
邮箱
主页
提交
订阅