首页 > 网站技术

IIS解析漏洞之我见

发布时间:2010-07-17 09:10:28 来源:星知苑 作者:星之宇

IIS解析漏洞出现,导致IIS被黑,服务器被入侵,这个漏洞是所有的win2003服务器,iis6都存在的漏洞,iis解析漏洞。很多站长的心血一去不复还。

什么是IIS解析漏洞呢?
    在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 test.asp,那么 /test.asp/1.jpg 将被当作 asp 文件来执行。[break]
    那么我们来测试一下,在网站下创建一个目录“test.asp”,并在目录下创建一个文件名为“1.jpg”的文件(假设是用户作为头像上传上来的), 用记事本打开“1.jpg”文件,输入:
点击查看原图
上传到空间,输入地址,如果其中的 asp 脚本能被执行,那么恭喜您:漏洞存在。
点击查看原图
这图已经被成功执行。

网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg”,也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件,名字叫“test.asp;.jpg”的木马文件,该文件可以被当作 asp 文件解析并执行。
在网站目录下创建文件“test.asp;.jpg”,输入地址执行,那么也和上面的结果一样。

解决方法:由于微软一直没有给出补丁。
1.首先确定自己用的cms,或者其他的网站系统有没有补上这个漏洞。补上了就OK了。没补上的,先不要开上传功能。
2.没补的,可以用软件,防火墙。网上这个很多,自己看着办
3.自己百度去搜索,关于这个的解决方法

相关合集

  • 生活服务软件推荐
生活服务软件推荐

简介:现在很多的软件都是为了方便人民的生活而打造,像一些天气软件、购物APP、生活应用等,让你的生活变得更加便利,一部手机就能解决你生活中的很多问题。小编今天为大家带来的这几款软件,还是非常实用的,很多的功能你都能使用到,并且还是完全免费的,有需要的可以自己选择下载。