MS IIS server的ASP安全漏洞缺陷
时间:2008-10-05 08:54:00
涉及程序:
Microsoft IIS server
描述:
IIS使有权上传和使用asp程序的用户能更改任何文件
详细:
这是IIS的一个非常严重的漏洞,即使是IIS4.0,仍然没有补上这个漏洞:
你建立如http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!
然后上传到任何一个web目录中(允许脚本执行),如:
http://www.xxx.com/frankie/write.asp
然后在浏览器中输入该地址
这样,将替换首页! 红字黑底,显示: This page was hacked by small-hacker!
解决方案:
没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本
安全建议:
管理员应该知道这样一个事实:如果给用户开放ASP上传和脚本执行权限,等于把整个系统的控制权交给了用户。所以绝不要轻易开放asp的权限给一般用户/
标签:iis,漏洞,缺陷,ASP安全
0
投稿
猜你喜欢
DeDeCMS RSS全站静态输出的实现方法
2011-08-20 08:28:46
老生常谈:谷歌到底是怎么对待seo优化的
2009-01-06 11:16:00
地图网站怎么赚钱?
2007-11-19 14:20:00
Windows服务器安全维护需注意八大要点
2009-03-06 14:04:00
流量的概念
2007-09-17 17:49:00
工作与业务经验浅谈关于收取PIN码的问题
2009-03-30 20:20:00
Discuz! 7.1:漫游应用插件的开启与使用
2009-10-23 17:48:00
人站长 请坚持住不要放弃
2008-09-02 11:57:00
windows 2003 server需要停止的服务
2009-10-18 07:44:00
专家谈淘宝卓越竞争:电子商务终向B2C发展
2009-10-27 17:31:00
Windows 2003 Server安全配置图文教程
2010-03-24 18:56:00
个人POP3和SMTP服务器的配置
2007-03-27 09:46:00
NETWARE服务器随机存储器的扩展
2010-05-13 18:09:00
网站优化如何操作 做好九个方面基础工作
2008-12-30 10:12:00
改变草根站长的命运
2007-09-28 11:44:00
迅雷发布手机客户端v1.0.3支持多制式网络
2010-05-27 11:56:00
Godaddy共享主机JSP/Java支持的体验经历 Godaddy 超市
2010-04-07 13:17:00
Hishop参与长沙市电子商务协会筹建
2009-10-27 10:59:00
悼念一篇被杀的软文
2007-11-03 21:06:00
搭建apache+svn+trac平台
2008-09-26 17:10:00