今天是:
首 页
┆
信息查询
┆
网站SEO查询工具
┆
CSS编辑器
┆
建站素材
软件新闻
操作系统
Vista
Winxp
Win2003
Linux
Windows综合
工具软件
系统工具
媒体工具
网络工具
杀毒软件
聊天
软件开发
C教程
C++
Java
C#
ASP.NET
JSP
PHP
数据库
Oracle
MySQL
DB2
SQL Server
Sybase
安全
网络
病毒
办公应用
Word
Excel
Powerpoint
Outlook
其他
平面设计
Photoshop
Fireworks
Coreldraw
Flash
Illustrator
3dsmax
网站运营
网站运营
网站优化
网站策划
策划书下载
建站心得
站长故事
网站盈利
网页制作
网页特效
建站素材
免费资源
QQ频道
当前位置:
首 页
>>
操作系统
>>
服务器综合
>> 解决IIS6目录检查安全漏洞的办法
解决IIS6目录检查安全漏洞的办法
发布于2008-03-12 16:08 来源:
网海拾贝
一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述
1、Windows 2003 Enterprise Edition是微软目前主流的
服务器
操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。
2、 扩展名为.jpg/.gif的木马检查方法:
在资源管理器中使用详细资料方式,按类别查看。点“查看”菜单--“选择详细信息”--勾选上“尺寸”,确定。此时,正常的图片文件会显示出图片的尺寸大小,如果没有显示,则99%可以肯定是木马文件。用记事本程序打开即可100%确定.
3、 漏洞影响的范围:
安装了IIS6的服务器(windows2003),漏洞特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。
二、如何解决IIS6安全漏洞?
A 方案 :打补丁
本来安装补丁是一种比较保险的方法,可是漏洞已发现一段时间了,微软一直没有发布相关的补丁。
B方案:网站程序员解决
对于那些允许注册帐号的网站来说,在网站程序编写的时候,程序员通常为了管理方便,便以注册的用户名为名称来建立一个文件夹,用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点,特意通过网站注册一个以.或者.cer的后续名作注册名,然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法,把文件上传到服务器,由于IIS6漏洞,jpg文件可以通过IIS6来运行,木马也随着运行,达到了攻击网站的目的,这种情况,可以由程序员对注册用户名称进行限制,排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外,要阻止用户对文件夹进行重命名操作。
这种方法在一定程度上可以防范一些攻击行为,但是这种方法实现起来非常麻烦,网站的开发人员在程序安全性方面必须掌握相当好的技术,并且必须要对整个网站涉及文件管理方面的程序进行检查,一个网站少则几十,多则上千个文件,要查完相当费时,并且难免会漏掉其中一两个。
另外,目前有很多现成的网站系统只要下载后上传到空间就可以用,开发这些现有网站系统的程序员技术水平参差不齐,难免其中一些系统会存在这种漏洞,还有相当一部分系统的源码是加密过的,很多站长想改也改不动,面对漏洞无乎无能为力。
C方案:服务器配置解决
网站管理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢?很多网站都允许用户上传一定数量的图片、Flash等,很多时候网站开发人员为了日后管理方便,对上传的文件都统一放到指定的一个文件夹里面,管理员只要对该文件夹的执行权限设置成“无”,这样一定程度可以对漏洞进行预防。
D方案: 服务商解决 服务器商对服务器进行统一的整体性过滤,通过编写组件来限制这种行为。但是能做到这种技术服务的主机供应服务商不多。
中查找“
解决IIS6目录检查安全漏洞的办法
”更多相关内容
中查找“
解决IIS6目录检查安全漏洞的办法
”更多相关内容
上一篇:
技巧:VPN配置简单说明书
下一篇:
用MCAFEE阻挡IIS进程创建和修改ASP文件
最近更新
赞助商
·
如何在win2003和Apache下配置WAP服务器
10-28
·
sc-win32-status是什么? Win32状态参数..
10-28
·
随时随地用手机监视你服务器情况
07-22
·
Apache设置二级域名的方法
03-19
·
用MCAFEE阻挡IIS进程创建和修改ASP文件
03-17
·
解决IIS6目录检查安全漏洞的办法
03-12
·
技巧:VPN配置简单说明书
03-11
·
2003 IIS下配置泛域名解析
01-25
·
阻止Exchange服务器开放转发功能
01-25
·
Exchange邮件服务器中的部署更改
01-25
·
威盾单服务器无限泛域名解析器
01-23
共有评论 0 条 网友评分
查看所有评论
发表评论→
学而不思则罔,思而不学则殆,请大胆发表你的见解。
输验证码:
您对此篇文章的评分:1分
2分
3分
4分
5分
热门排行
·
win系统下PHP环境配置 a..
·
WIN2003 + Apache2.0.52..
·
IIS 虚拟主机设置
·
使用Abyss Web Server配..
·
win下五分钟搭建PHP环境..
·
代理服务器的架设与维护
·
WIN系统 C盘 相关目录及..
·
基于XP架设Web服务器
·
[组图]菜鸟也能架设FTP..
·
Apache 虚拟主机设置
最新推荐
·
2003 IIS下配置泛域名解析
·
win系统下PHP环境配置 a..
·
win系统下配置PHP环境 A..
·
用Windows Server 2003..
·
基于XP架设Web服务器
·
[组图]菜鸟也能架设FTP..
·
多个域名绑定一个空间互..
·
安全配置2k服务器全攻略
·
Win 2003中提高FSO的安..
站内搜索
关键词
搜索方式
全部
文章内容
文章标题
文章作者
搜索范围
所有栏目
生活休闲
软件开发
站内新闻
幽默笑话
软件新闻/评测/业界动态
文摘欣赏
QQ新闻/技巧
C#教程
网站建设
服务器综合
免费资源
建站心得
网站策划
QQ空间大图模块
QQ宠物
平面设计
PHOTOSHOP
FIREWORKS
CORELDRAW
FLASH
网页制作
Dreamweaver
Javascript/Ajax
HTML/Xhtml
CSS教程
ASP.NET教程
JSP教程
SQLServer
XML教程
QQ频道
LOGO制作
QQ头像
QQ表情
矢量素材
暴笑男女
校园篇
爱情篇
名人篇
电脑IT篇
QQ皮肤
程序人生
网站优化
数据库栏
ACCESS
MySQL
Oracle
Foxpro
PowerBuilder
Sybase
PHP教程
站长故事
网站盈利
网站运营
网页特效
日期时间
页面背景
页面导航
页面特效
图形图象
按钮特效
鼠标事件
浏览窗口
文本特效
状态栏类
表单操作
计数计算
技 巧 类
联络聊天
操作系统
Win2003
WinXP
Win2000
Linux
FreeBSD
注册表
Windows综合
工具软件
系统工具
媒体工具
压缩工具
图文处理
文件管理
其他工具
认证考试
微软认证
Cisco认证
Macrmedia认证
Adobe 认证
软件水平考试
全国等级考试
QQ游戏
java教程
C++教程
ASP教程
QQ工具
网络工具
Vista
办公应用
Word教程
Excel教程
Powerpoint教程
Outlook教程
排版软件
办公软件其他
建站素材
字体下载
网页模版
png图标素材
C教程
Golive教程
数据库开发
psd分层素材
网页背景素材
常用代码
其它
网络应用
病毒防治
网络安全
网络知识
服务器
网站策划书下载
QQ空间制作代码
MacOSX
心得技巧
QQ个性繁体/资料/签名
3D教程
矢量教程
Delphi教程
ImageReady
DB2
Illustrator
QQ空间flash
QQ空间视频模块
杀毒软件
QQ空间素材
Windows Server 2008
导航菜单
精确匹配
网站首页
-
关于本站
-
网站地图
-
广告合作
-
站点声明
-
RSS订阅
-
联系我们
Copyright © 2005
网海拾贝
.
[新ICP备05003216号]
. All Rights Reserved .
中查找“解决IIS6目录检查安全漏洞的办法”更多相关内容
中查找“解决IIS6目录检查安全漏洞的办法”更多相关内容
