小林透露微软下iis漏洞与防止
[ 2007-03-25 02:59:35 | 作者: sun ]
今天动易系统的新漏洞导致了数千的服务器被黑(参考:动易最新漏洞的消息 ),也导致了这类安全漏洞的延伸,著名程序专家小林谈到现在的win的服务器的时候无奈的说:微软的IIS漏洞比沙子还多,又发现一个严重的漏洞,只要创建一个.asp后缀的目录,其目录下的所有文件都能执行。 请使用iis的站长们注意。。。最好禁止创建包括.asp的目录和上传可疑文件。
比如创建一个 265.asp 目录,里面放 265.jpg 都能当 asp 执行。
比如 c:\inetpub\wwwroot\265.asp\265.jpg 这样265.jpg内容是asp,但验证的时候不知道,就中招了。只看后缀名也不可靠啊,以前不让传 .asp 后缀就相对安全了。。。现在不行了。
防止方法:禁止脚本、创建目录,IIS目录的安全性和用户的权限控制结合就可以解决,把user归属到guest里
动易的全系列都有危险 ,别的只要设计发布系统的肯定都会。先临时解决办法贝,这个是微软的漏洞 。其他也没有好的办法。
比如创建一个 265.asp 目录,里面放 265.jpg 都能当 asp 执行。
比如 c:\inetpub\wwwroot\265.asp\265.jpg 这样265.jpg内容是asp,但验证的时候不知道,就中招了。只看后缀名也不可靠啊,以前不让传 .asp 后缀就相对安全了。。。现在不行了。
防止方法:禁止脚本、创建目录,IIS目录的安全性和用户的权限控制结合就可以解决,把user归属到guest里
动易的全系列都有危险 ,别的只要设计发布系统的肯定都会。先临时解决办法贝,这个是微软的漏洞 。其他也没有好的办法。
评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=192
引用链接: http://www.lziss.com/blog/trackback.asp?id=192
引用链接: http://www.lziss.com/blog/trackback.asp?id=192
经营范围:商务咨询、企业管理咨询、投资咨询、市场策划、展览展示服务、劳动服务。
并可以为贵公司提供高质量网站建设及网站优化、产品推广服务
公司本次发布信息内容:食品、饮料、酒类、调味品等企业。如果有需要本公司进行产品投放市场前期
的策划,寻找代理商家,可以与我公司联系。
在本月10日以前联系的公司将可以安排贵公司产品参加11月份的华联超市全国订货会。
联系方式:电话 021--51021055-3
E-mail: sh-pai@hotmail,com.
联 系 人:邵先生