、 Windows 2003 Enterprise Edition IIS6目录检查漏洞
描述1、Windows 2003 Enterprise Edition是微软目前主流
服务器操作系统
Windows 2003 IIS6存在着文件解析路径漏洞
当文件夹名为类似hack.ASP时候(即文件夹名看起来像个ASP文件文件名)此时此文件夹下任何类型文件都可以在IIS中被当做ASP
来执行这样黑客即可上传扩展名为.jpg或.g
的类看起来像是图片文件木马文件通过访问这个文件即可运行木马2、扩展名为.jpg/.g
木马检查思路方法:在资源管理器中使用详细资料方式
按类别查看点“查看”菜单--“选择详细信息”--勾选上“尺寸”确定此时正常图片文件会显示出图片尺寸大小如果没有显示则99%可以肯定是木马文件用记事本打开即可100%确定.3、漏洞影响
范围:安装了IIS6
服务器(windows2003)漏洞特征网站WebSite管理权限被盗、导致网站WebSite被黑
微软尚未发布这个漏洞补丁所以几乎所有网站WebSite都会存在这个漏洞2、如何解决IIS6安全漏洞?
A方案:打补丁
本来安装补丁是
种比较保险思路方法可是漏洞已发现段时间了微软直没有发布相关补丁B方案:网站WebSite
员解决对于那些允许注册帐号
网站WebSite来说在网站WebSite编写时候员通常为了管理方便便以注册用户名为名称来建立个文件夹用以保存该用户数据例如些图片、文字等等信息黑客们就是利用了这特点特意通过网站WebSite注册个以.或者.cer后续名作注册名然后通过如把含有木马ASP文件.asp后缀改成.jpg等思路方法把文件上传到服务器由于IIS6漏洞jpg文件可以通过IIS6来运行木马也随着运行达到了攻击网站WebSite目这种情况可以由员对注册用户名称进行限制排除些带有*.asp *.asa等
为名注册名加强网站WebSite自身安全和防范措施另外要阻止用户对文件夹进行重命名操作这种思路方法在
定程度上可以防范些攻击行为但是这种思路方法实现起来非常麻烦网站WebSite开发人员在安全性方面必须掌握相当好技术并且必须要对整个网站WebSite涉及文件管理方面进行检查个网站WebSite少则几十多则上千个文件要查完相当费时并且难免会漏掉其中两个另外目前有很多现成网站WebSite系统只要下载后上传到空间就可以用开发这些现有网站WebSite系统员技术水平参差不齐难免其中些系统会存在这种漏洞还有相当部分系统源码是加密过很多站长想改也改不动面对漏洞无乎无能为力C方案:服务器配置解决
网站WebSite管理员可以通过修改服务器
配置来实现对这个漏洞预防如何对服务器进行配置呢?很多网站WebSite都允许用户上传定数量图片、Flash等很多时候网站WebSite开发人员为了日后管理方便对上传文件都统放到指定个文件夹里面管理员只要对该文件夹执行权限设置成“无”这样定程度可以对漏洞进行预防D方案:服务商解决服务器商对服务器进行统
整体性过滤通过编写组件来限制这种行为但是能做到这种技术服务主机供应服务商不多
最新评论