九九国产视频_亚洲精品国产三级在线观看_很污很黄能把下面看湿的短文_69色视频日韩在线视频

三種方法解決IIS6目錄檢查漏洞

[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

一 、 Windows 2003 Enterprise Edition IIS6 目錄檢查漏洞的描述

  1、Windows 2003 Enterprise Edition是微軟目前主流的服務器操作系統。 Windows 2003 IIS6 存在著文件解析路徑的漏洞,當文件夾名為類似hack.ASP的時候(即文件夾名看起來像一個ASP文件的文件名),此時此文件夾下的任何類型的文件都可以在IIS中被當做ASP程序來執行。這樣黑客即可上傳擴展名為.jpg或.gif之類的看起來像是圖片文件的木馬文件,通過訪問這個文件即可運行木馬。

  2、 擴展名為.jpg/.gif的木馬檢查方法:

  在資源管理器中使用詳細資料方式,按類別查看。點“查看”菜單--“選擇詳細信息”--勾選上“尺寸”,確定。此時,正常的圖片文件會顯示出圖片的尺寸大小,如果沒有顯示,則99%可以肯定是木馬文件。用記事本程序打開即可100%確定.

  3、 漏洞影響的范圍:

  安裝了IIS6的服務器(windows2003),漏洞特征網站的管理權限被盜、導致網站被黑。因為微軟尚未發布這個漏洞的補丁,所以幾乎所有網站都會存在這個漏洞。

  二、如何解決IIS6安全漏洞?

  A 方案 :打補丁

  本來安裝補丁是一種比較保險的方法,可是漏洞已發現一段時間了,微軟一直沒有發布相關的補丁。

  B方案:網站程序員解決

  對于那些允許注冊帳號的網站來說,在網站程序編寫的時候,程序員通常為了管理方便,便以注冊的用戶名為名稱來建立一個文件夾,用以保存該用戶的數據。例如一些圖片、文字等等信息。黑客們就是利用了這一特點,特意通過網站注冊一個以.或者.cer的后續名作注冊名,然后通過如把含有木馬的ASP 文件的.asp后綴改成.jpg等方法,把文件上傳到服務器,由于IIS6漏洞,jpg文件可以通過IIS6來運行,木馬也隨著運行,達到了攻擊網站的目的,這種情況,可以由程序員對注冊用戶名稱進行限制,排除一些帶有*.asp *.asa等字符為名的注冊名。加強網站自身的安全和防范措施。另外,要阻止用戶對文件夾進行重命名操作。

  這種方法在一定程度上可以防范一些攻擊行為,但是這種方法實現起來非常麻煩,網站的開發人員在程序安全性方面必須掌握相當好的技術,并且必須要對整個網站涉及文件管理方面的程序進行檢查,一個網站少則幾十,多則上千個文件,要查完相當費時,并且難免會漏掉其中一兩個。

  另外,目前有很多現成的網站系統只要下載后上傳到空間就可以用,開發這些現有網站系統的程序員技術水平參差不齊,難免其中一些系統會存在這種漏洞,還有相當一部分系統的源碼是加密過的,很多站長想改也改不動,面對漏洞無乎無能為力。

  C方案:服務器配置解決

  網站管理員可以通過修改服務器的配置來實現對這個漏洞的預防。如何對服務器進行配置呢?很多網站都允許用戶上傳一定數量的圖片、Flash 等,很多時候網站開發人員為了日后管理方便,對上傳的文件都統一放到指定的一個文件夾里面,管理員只要對該文件夾的執行權限設置成“無”,這樣一定程度可以對漏洞進行預防。

  D方案: 服務商解決 服務器商對服務器進行統一的整體性過濾,通過編寫組件來限制這種行為。但是能做到這種技術服務的主機供應服務商不多。

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責聲明,若由于商用引起版權糾紛,一切責任均由使用者承擔。

您必須遵守我們的協議,如您下載該資源,行為將被視為對《免責聲明》全部內容的認可->聯系老梁投訴資源
LaoLiang.Net部分資源來自互聯網收集,僅供用于學習和交流,請勿用于商業用途。如有侵權、不妥之處,請聯系站長并出示版權證明以便刪除。 敬請諒解! 侵權刪帖/違法舉報/投稿等事物聯系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯系指正;轉載請注明出處: » 三種方法解決IIS6目錄檢查漏洞

發表回復

本站承接,網站推廣(SEM,SEO);軟件安裝與調試;服務器或網絡推薦及配置;APP開發與維護;網站開發修改及維護; 各財務軟件安裝調試及注冊服務(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統,人力資源,超市POS,醫藥管理等;

立即查看 了解詳情