首页 > 网站技术

IIS解析漏洞之我见

发布时间:2010-07-17 09:10:28 来源:星知苑 作者:星之宇

IIS解析漏洞出现,导致IIS被黑,服务器被入侵,这个漏洞是所有的win2003服务器,iis6都存在的漏洞,iis解析漏洞。很多站长的心血一去不复还。

什么是IIS解析漏洞呢?
    在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 test.asp,那么 /test.asp/1.jpg 将被当作 asp 文件来执行。[break]
    那么我们来测试一下,在网站下创建一个目录“test.asp”,并在目录下创建一个文件名为“1.jpg”的文件(假设是用户作为头像上传上来的), 用记事本打开“1.jpg”文件,输入:
点击查看原图
上传到空间,输入地址,如果其中的 asp 脚本能被执行,那么恭喜您:漏洞存在。
点击查看原图
这图已经被成功执行。

网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg”,也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件,名字叫“test.asp;.jpg”的木马文件,该文件可以被当作 asp 文件解析并执行。
在网站目录下创建文件“test.asp;.jpg”,输入地址执行,那么也和上面的结果一样。

解决方法:由于微软一直没有给出补丁。
1.首先确定自己用的cms,或者其他的网站系统有没有补上这个漏洞。补上了就OK了。没补上的,先不要开上传功能。
2.没补的,可以用软件,防火墙。网上这个很多,自己看着办
3.自己百度去搜索,关于这个的解决方法

相关合集

  • 爆率最高的免费捕鱼游戏
爆率最高的免费捕鱼游戏

简介:这里是捕鱼能手的世界超多的不同的鱼类让你捕到手酸都是可以的,精彩火爆的真实玩家线上的对抗看谁的手速更快更加的可以驾驭各种不同的大炮,有的还有多种武器可以进行装备也有丰富好看的皮肤在这里让玩家可以进行更换,还有属性各种加成,爆率是超级的高,想不要金币都是很难的那种哦。