三种方法解决IIS 6 目录检查安全漏洞

iis|安全|安全漏洞|解决

一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述

1、Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。

2、 扩展名为jpg/gif的木马检查方法:

在资源管理器中使用详细资料方式,按类别查看。点“查看”菜单--“选择详细信息”--勾选上“尺寸”,确定。此时,正常的图片文件会显示出图片的尺寸大小,如果没有显示,则99%可以肯定是木马文件。用记事本程序打开即可100%确定.

3、 漏洞影响的范围:

安装了IIS6的服务器(windows2003),漏洞特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。

二、如何解决IIS6安全漏洞?

A 方案 :打补丁

本来安装补丁是一种比较保险的方法,可是漏洞已发现一段时间了,微软一直没有发布相关的补丁。

B方案:网站程序员解决

对于那些允许注册帐号的网站来说,在网站程序编写的时候,程序员通常为了管理方便,便以注册的用户名为名称来建立一个文件夹,用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点,特意通过网站注册一个以.或者.cer的后续名作注册名,然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法,把文件上传到服务器,由于IIS6漏洞,jpg文件可以通过IIS6来运行,木马也随着运行,达到了攻击网站的目的,这种情况,可以由程序员对注册用户名称进行限制,排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外,要阻止用户对文件夹进行重命名操作。

这种方法在一定程度上可以防范一些攻击行为,但是这种方法实现起来非常麻烦,网站的开发人员在程序安全性方面必须掌握相当好的技术,并且必须要对整个网站涉及文件管理方面的程序进行检查,一个网站少则几十,多则上千个文件,要查完相当费时,并且难免会漏掉其中一两个。

另外,目前有很多现成的网站系统只要下载后上传到空间就可以用,开发这些现有网站系统的程序员技术水平参差不齐,难免其中一些系统会存在这种漏洞,还有相当一部分系统的源码是加密过的,很多站长想改也改不动,面对漏洞无乎无能为力。

C方案:服务器配置解决

网站管理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢?很多网站都允许用户上传一定数量的图片、Flash等,很多时候网站开发人员为了日后管理方便,对上传的文件都统一放到指定的一个文件夹里面,管理员只要对该文件夹的执行权限设置成“无”,这样一定程度可以对漏洞进行预防。

D方案: 服务商解决 服务器商对服务器进行统一的整体性过滤,通过编写组件来限制这种行为。但是能做到这种技术服务的主机供应服务商不多。

三、 联动天下如何解决漏洞问题

联动天下www.72e.net凭借其强大的技术开发能力,经过长时间的开发测试,终于开发出一套功能强大的安全过滤系统,能很好的解决IIS的目录检测漏洞。此安全系统主要有以下几个方面的功能:

1、安全检测功能

此安全过滤系统会对访问者请求的网址进行安全检测,当某个浏览者访问我司服务器上的网站时,安全系统先会检测此页面的网址是否是放在有目录安全隐患的文件夹中,如果是则自动中止页面的执行,有效的防止黑客利用这个漏洞入侵网站系统,大大提高网站的安全性。

2、程序错误侦测

此安全过滤系统独有的网页程序错误检测功能,用户可以通过虚拟主机控制面板查看程序的出错情况,大大方便了程序优化、程序排错的工作,避免用户去分析那些羞涩难懂、并且海量的网站日志文件。

时间: 2024-11-05 12:23:26

三种方法解决IIS 6 目录检查安全漏洞的相关文章

SimpleDateFormat线程不安全性的三种方法解决

在java项目中,我们通常会自己写一个dateutil类,处理日期和字符串的转换.如下   public class dateutil{ private static simpledateformat sdf = new simpledateformat("yyyymmdd"); public static formatdatetoyyyymmddstr(date date){ return sdf.format(date); } public static formatyyyymmd

三种方法解决IIS6目录检查漏洞

iis|解决 一 . Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述 1.Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统. Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行.这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的

三种方法解决关闭xp自动更新工具的问题

  方法一 鼠标左键点击桌面左下角的开始菜单按钮,然后在出现的上拉菜单上面点击设置,然后在设置的侧拉菜单上面点击控制面板 点击控制面板以后会出现控制面板窗口,在控制面板窗口里面点击安全中心 点击安全中心以后会出现Windows安全中心窗口,在安全中心窗口上面点击自动更新 点击自动更新以后会出现自动更新窗口,在自动更新窗口下面点击选中关闭自动更新然后点击确定就可以了 方法二 鼠标右键点击我的电脑图标,会出现侧拉菜单,然后在侧拉菜单上面鼠标点击属性 点击属性以后会出现系统属性窗口,在系统属性窗口上面

OpenJudge 2746(三种方法解决Joseph问题)

#include<stdio.h> #include<string.h> int vis[310]; void joseph(int n,int m) { int i,j,k; int cnt=0,count=0; memset(vis,0,sizeof(vis));//0表示未选中 for(i=1;count<n-1;i=i%n+1)//循环 n-1次 { if(vis[i]==0) { // vis[i]=1; cnt++; } if(m==cnt) { vis[i]=1

WPS文字目录制作的三种方法

  WPS文字目录制作的三种方法           平时工作接触文档排版比较多,说到文档排版今天就先发一个做WPS目录的基础教程. 第一种:常规排法 方法:不多说就是打字,然后打省略号,后面缀页码,然后强制对齐页码. 缺点:页码不容易对齐,省略号不好看且修改的话省略号不会跟着变动. 第二种:自动生成目录 适用范围: 大多数文件的排版都使用这种方法制作目录. 方法: 这种需要对各级标题进行定义,按下图操作打开"样式和格式"窗口,定义完成后,点"引用""插入

用ASP技术得到主页被访问次数的三种方法

访问 用ASP技术得到主页被访问次数的三种方法             华中理工大学自动控制工程系  周茜 田忠和    ASP 是Microsoft Active Server Pages 的缩写,即动态服务器主页. 它是服务器端脚本编写环境,在Web服务器上解释脚本,可以组合HTML页.脚本命令和ActiveX组件来创建动态.交互式.高效率的 Web 页和基于 Web 的功能强大的服务器应用程序.ASP 可以在Microsoft 的任何 Web服务器上发布各种动态数据,而且ASP应用程序很容

AJAX实现跨域的三种方法(代理,JSONP,XHR2)_AJAX相关

域: 域是WIN2K网络系统的安全性边界.我们知道一个计算机网最基本的单元就是"域",这一点不是WIN2K所独有的,但活动目录可以贯穿一个或多个域.在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系.当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享. 由于在工作中需要使用AJAX请求其他域名下的请求,但是会出现拒绝访问的情况,这是因为基于安全的考虑,AJAX只

SQL Server2005杂谈(4):在SQL Server2005中按列连接字符串的三种方法

本文为原创,如需转载,请注明作者和出处,谢谢! 上一篇:SQL Server2005杂谈(3):四个排名函数(row_number.rank.dense_rank和ntile)的比较 最近做一个项目,遇到一个在分组的情况下,将某一列的字段值(varchar类型)连接起来的问题,类似于sum函数对int型字段值求和. 如有一个表t_table,结构和数据如图1                                           图1     其中要按着xh字段分组,并且将每一组na

SQL Server2005杂谈(2):按列连接字符串的三种方法

本文为原创,如需转载,请注明作者和出处,谢谢! 最近做一个项目,遇到一个在分组的情况下,将某一列的字段值(varchar类型)连接起来的问题,类似于sum函数对int型字段值求和. 如有一个表t_table,结构和数据如图1                                           图1     其中要按着xh字段分组,并且将每一组name字段值连接起来.最终结果希望如图2所示              图2 表中的th字段值对于每一个xh值是唯一的,也是有限的,也就是