当菜鸟遇上黒客(5):黒客入侵窗口:IIS_安全相关

   使用IIS(Internet Information Server)可以让有条件的用户轻易地建立一个本地化的网站服务器同时提供流量不大的Http访问,及一些文件传输的FTP服务,不过正是这个IIS(本章内容只针对IIS建立的服务器做介绍)成为黑客攻击的目标或者入侵本机的“云梯”。

  攻击

  针对IIS的攻击方式可以说是五花八门,使用大量的数据请求,使IIS超负荷而停止工作,是初级黑客的必修课程。不过鉴于篇幅不对IIS的攻击做详细介绍,而是说说入侵IIS。

  自IIS问世以来,其漏洞或缺口即层出不穷,很多用户放弃了配置方便、性能甚佳的IIS而转投“Apache”(另一种Web服务软件)的怀抱,也是因为它太过繁琐的漏洞和升级补丁工作。黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其漏洞进入到计算机内部,删改主机上的文件。以“扩展UNICODE目录遍历漏洞”为例,黑客就可以利用工具软件(如:IIS Cracker)进入到计算机内部,如图就是通过“IIS Cracker”入侵成功后的界面,它准确地显示了对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。

  注明:IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含Unicode字符,它会对其进行解码,但用户如果提供一些特殊的编码,会导致IIS错误地打开或者执行某些Web根目录以外的文件。

  防范

  防范IIS漏洞入侵,最简单的方法是升级IIS,并随时随地打上Microsoft提供的漏洞补丁,但为Microsoft捆绑的IIS版本与网上提供下载的独立IIS版本众多,让用户搞不清楚哪些需要升级?哪些存在漏洞及什么样的漏洞?这里笔者介绍一个方法:使用扫描程序对自己配置的IIS进行扫描,通过前面的介绍,我们知道,扫描并不是一个真正的黑客攻击行为,它只是一种寻找入口的方式。如此一来,利用扫描方式就可以知道自己的IIS存在哪些漏洞,即可以有针对性的对IIS升级。前面介绍的IIS的Unicode漏洞就可以通过“RangeScan”或者是“快乐绿鹰的Unicode漏洞扫描器”进行扫描。为了提高IIS的安全性,建议使用一些全局扫描程序,不但可以扫描出“Unicode漏洞”还可以扫描出一些新的、用户不熟悉的漏洞,然后根据网上的介绍进行服务器升级和相关的调整。

时间: 2024-11-09 00:38:38

当菜鸟遇上黒客(5):黒客入侵窗口:IIS_安全相关的相关文章

当菜鸟遇上黒客之二:端口扫描_安全相关

   黑客的探测方式里除了侦察IP,还有一项--端口扫描.通过"端口扫描"可以知道被扫描的计算机哪些服务.端口是打开而没有被使用的(可以理解为寻找通往计算机的通道). 一.端口扫描 网上很容易找到远程端口扫描的工具,如Superscan.IP Scanner.Fluxay(流光)等(如图1),这就是用"流光"对试验主机192.168.1.8进行端口扫描后的结果.从中我们可以清楚地了解,该主机的哪些非常用端口是打开的:是否支持FTP.Web服务:且FTP服务是否支持&

当菜鸟遇上黒客之三:QQ防盗篇_安全相关

   上网了吧,用Q了吧,被盗了吧,正常.想上网吧,想用Q吧,不想被盗Q吧,正常.那就来了解一些盗QQ方面的知识吧!  一.名词解释  1.字典  所谓字典,其实就是一个包含有许多密码的文本文件.字典的生成有两种方式:用字典软件生成和手动添加.一般字典软件能生成包含生日.电话号码.常用英文名等密码的字典,不过由于这样生成的字典体积大,而且不灵活,所以黑客往往会手动添加一些密码到字典里去,形成一个"智能化"的密码文件.  2.暴力破解  所谓暴力破解,其实就是用无数的密码来与登录QQ的密

全峰快递副总裁刘伟:菜鸟遇上的是电商

菜鸟从建立的那一天开始,就没有消停过.由于逃不出外界的视线,争议非议颇多.至于近期的一场讨论,则让整个行业重新审视这样的大战略究竟有怎样的价值. 而刚刚获得云峰基金亿元注资.与菜鸟达成战略合作的全峰快递,目前50%的订单都来自淘宝系,70%的订单来自电商.这样的布局,几乎是整个快递行业的缩影.当没有人知道菜鸟将要飞向哪里,电商又在苦苦地徘徊在盈利边缘,快递却成为世人了解电商的一面镜子,必须擦得漂漂亮亮,满足用户的一切夙愿. 在这个快被逼疯的行业里,终于有人说了几句大实话. 以下为双方对话: 亿邦

《当90后遇上创业》一一1.8 一个好的企业家一定是最懂人性的人

1.8 一个好的企业家一定是最懂人性的人 当90后遇上创业这个世界很有意思的一点就是,每个行业的著名人物大多都不是科班出身.以大家都熟悉的娱乐圈和企业家为例好了.先说娱乐圈,李宗盛最早的工作是扛煤气罐,张曼玉最初是商场的销售员,阿杜的本职是建筑工人,郭富城入行之前是个舞者,我们熟悉的央视著名主持人赵普最早是一名保安.再说企业家马云和俞敏洪最初都是英语老师,我们熟悉的企业家92派代表潘石屹.冯仑等创业前都是国家体制内的人,最近几年非常出名的营销大师杜子建气场非常强大,但他也曾经睡过大街,接受过他培

当草根站长遇上品牌运营公司时

笔者最近在优化一个汽车车位锁网站,关键词竞争度倒是不大,当笔者一查几个竞争对手时,发现除了有几个厂家外,居然还有一个品牌运营公司.当草根站长遇上团队作战,经验丰富的品牌运营公司时,笔者是如下分析与制定计划的. 一.网站整体分析 遇上车位锁品牌运营公司,笔者觉得分析网站不能只分析简单的seo数据.应该从网站设计与布局,流量导入,口碑营销与社会化营销等诸多分析. 1.网站结构与设计 该品牌运营公司的网站结构简单,设计简洁大气,也符合该公司定位中高端车位地锁用户.实际上,笔者公司也曾请人模仿了该站,但

快速浏览Silverlight3 Beta:当HLSL遇上Silverlight

HLSL高级着色器语言(High Level Shader Language,简称HLSL),由微软拥有及开发的一种语言,只能供微软的Direct3D使用. HLSL是微软抗衡GLSL的产品,同 时不能与OpenGL标准兼容.他跟Nvidia的Cg非常相似. 看了上面的几行话,可能大家还不是很清楚这个东西与当前的Silverlight的关系.其实在园子里的兄弟发过这篇文章,介绍"silverlight3滤镜效果". 而其在源码中所使用的.ps文件(注:这里不是powershell呀),

金融和互联网好像北京遇上西雅图

本文讲的是金融和互联网好像北京遇上西雅图,中国工商银行电子银行部总经理侯本旗表示,金融和互联网好像不太一样,"金融长这样(吴秀波),稳重.可靠.有内涵.互联网长这样,漂亮.任性.烧钱.有魅力.当他们两个遇到一起就变成了这样,被拍成了一部电影<北京遇上西雅图>."他说,未来三年互联网金融势不可当. 以下为演讲实录: 侯本旗:金融和互联网好像不太一样,我不知道大家有没有想过金融长什么样,金融长这样(吴秀波),稳重.可靠.有内涵.互联网长这样(汤唯),漂亮.任性.烧钱.有魅力,当

当Unikernel遇上Docker,会发生什么?

本文讲的是当Unikernel遇上Docker,会发生什么,[编者的话]本文主要是对在巴塞罗那举办的DockerCon大会上介绍的Unikernel的总结.Unikernel是一种新的容器化发展方向,使用Rump Kernels构建Rump Kernels微服务,可以像传统的容器一样管理使用,能充分利用到现有容器生态系统的优点. 今天,在欧盟巴塞罗那举办的DockerCon大会上,Unikernel闪亮登场! 作为闭幕黑科技主题keynote的一部分, Anil Madhavapeddy(Mir

专访Secret创始人:当Secret遇上“秘密”

「Secret起源于我们另一个创始人给女朋友写匿名情书的想法.」 Secret创始人及CEODavidByttow这样谈起Secret这款流行App.Secret栖身于旧金山繁华地段的一幢灰色小楼里,外面没有任何标识.他的说话声音很轻很慢,似乎听不出情绪波动,而在他周围Secret的十几名员工正在紧张加班中.Secret是一款目前在美国很流行的匿名社交应用,它是基于熟人关系链导入而成的匿名信息分享.这款应用是2013年10月份David和朋友ChrysBader-Wechseler共同创建.创立