两大IIS解析漏洞解析

安全 漏洞
本文向大家介绍了两种漏洞,深刻的解释了IIS解析漏洞这个概念,也希望读者能通过本文了解IIS解析漏洞。

IIS解析漏洞式什么?在 Windows 2003 IIS 6.0 下有两个漏洞,微软一直没有给出补丁。

IIS解析漏洞1:

在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp,那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。

那么我们来测试一下,在网站下创建一个目录“vidun.asp”,并在目录下创建一个文件名为“1.jpg”的文件(假设是用户作为头像上传上来的), 用记事本打开“1.jpg”文件,输入:

  1. Now is: <%=Now()%> 

如图所示,如果其中的 asp 脚本能被执行,那么恭喜您:漏洞存在。

两大IIS解析漏洞解析

打开浏览器,输入地址,执行效果如下:

两大IIS解析漏洞解析

IIS解析漏洞2:

网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg”,也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件,名字叫“vidun.asp;.jpg”的木马文件,该文件可以被当作 asp 文件解析并执行。

在网站目录下创建文件“vidun.asp;.jpg”,代码内容与上面 1.jpg 相同,打开浏览器,输入地址,执行效果如下 :

两大IIS解析漏洞解析

IIS解析漏洞实在太可怕了,足以让每一个站长望而崩溃,更让站长崩溃的是微软至今没有发布补丁!

【编辑推荐】

  1. 加固服务器防网络被挂马
  2. 索尼再遭黑客袭击 服务器被用于钓鱼
  3. 十大步骤助您打造安全个人Web服务器
  4. 灵活安全 力登推出全新服务器远程管理设备
  5. 浅析Xen虚拟环境下的邮件服务器数据安全解决方案 
责任编辑:佚名 来源: 微盾
相关推荐

2010-09-14 17:27:12

DIV CSS定位

2010-07-15 14:25:06

Perl时间函数

2011-12-08 09:55:08

iOS 5隐藏特性

2024-05-11 07:57:47

因果推断知识地图算法

2010-07-15 09:49:23

Perl标量

2011-07-01 10:22:09

麦咖啡IIS解析漏洞

2012-05-24 09:29:28

虚拟化ESG服务器虚拟化

2010-10-08 10:52:13

2010-10-09 11:25:12

JS打印

2013-09-04 10:41:08

2009-09-01 14:18:09

C#打开Excel文档

2013-06-25 10:11:18

2024-08-29 16:15:33

2010-07-13 14:06:26

Perl选择性控制结构

2010-06-28 14:15:45

开源UML建模工具

2013-11-29 15:41:08

解析漏洞ApacheApache解析漏洞

2020-08-06 00:34:42

黑帽大会Web安全漏洞

2024-01-17 23:05:38

2009-11-30 16:55:10

微软合作Novell

2010-02-23 17:30:41

WCF部署于IIS
点赞
收藏

51CTO技术栈公众号