两大IIS解析漏洞解析

IIS解析漏洞式什么？在 Windows 2003 IIS 6.0 下有两个漏洞，微软一直没有给出补丁。

专注于为中小企业提供网站设计制作、做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业农安免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了1000多家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

IIS解析漏洞1：

在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹，其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp，那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。

那么我们来测试一下，在网站下创建一个目录“vidun.asp”，并在目录下创建一个文件名为“1.jpg”的文件(假设是用户作为头像上传上来的)， 用记事本打开“1.jpg”文件，输入：

 
 
 
 

  
  
  
  
Now is: <%=Now()%> 
 
 
 
 

如图所示，如果其中的 asp 脚本能被执行，那么恭喜您：漏洞存在。

打开浏览器，输入地址，执行效果如下：

IIS解析漏洞2：

网站上传图片的时候，将网页木马文件的名字改成“*.asp;.jpg”，也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件，名字叫“vidun.asp;.jpg”的木马文件，该文件可以被当作 asp 文件解析并执行。

在网站目录下创建文件“vidun.asp;.jpg”，代码内容与上面 1.jpg 相同，打开浏览器，输入地址，执行效果如下 ：

IIS解析漏洞实在太可怕了，足以让每一个站长望而崩溃，更让站长崩溃的是微软至今没有发布补丁！

【编辑推荐】

1. 加固服务器防网络被挂马
2. 索尼再遭黑客袭击 服务器被用于钓鱼
3. 十大步骤助您打造安全个人Web服务器
4. 灵活安全 力登推出全新服务器远程管理设备
5. 浅析Xen虚拟环境下的邮件服务器数据安全解决方案 

网页标题：两大IIS解析漏洞解析
网页URL：http://www.csdahua.cn/qtweb/news17/68717.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网