您好,欢迎来到思海网络,我们将竭诚为您提供优质的服务! 诚征网络推广 | 网站备案 | 帮助中心 | 软件下载 | 购买流程 | 付款方式 | 联系我们 [ 会员登录/注册 ]
促销推广
客服中心
业务咨询
有事点击这里…  531199185
有事点击这里…  61352289
点击这里给我发消息  81721488
有事点击这里…  376585780
有事点击这里…  872642803
有事点击这里…  459248018
有事点击这里…  61352288
有事点击这里…  380791050
技术支持
有事点击这里…  714236853
有事点击这里…  719304487
有事点击这里…  1208894568
有事点击这里…  61352289
在线客服
有事点击这里…  531199185
有事点击这里…  61352288
有事点击这里…  983054746
有事点击这里…  893984210
当前位置:首页 >> 技术文章 >> 文章浏览
技术文章

解决IIS6目录检查安全漏洞的办法

添加时间:2011-1-18  添加: admin 

一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述

1、Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。

2、 扩展名为.jpg/.gif的木马检查方法:

在资源管理器中使用详细资料方式,按类别查看。点“查看”菜单--“选择详细信息”--勾选上“尺寸”,确定。此时,正常的图片文件会显示出图片的尺寸大小,如果没有显示,则99%可以肯定是木马文件。用记事本程序打开即可100%确定.

3、 漏洞影响的范围:

安装了IIS6的服务器(windows2003),漏洞特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。

二、如何解决IIS6安全漏洞?

A 方案 :打补丁

本来安装补丁是一种比较保险的方法,可是漏洞已发现一段时间了,微软一直没有发布相关的补丁。

B方案:网站程序员解决

对于那些允许注册帐号的网站来说,在网站程序编写的时候,程序员通常为了管理方便,便以注册的用户名为名称来建立一个文件夹,用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点,特意通过网站注册一个以.或者.cer的后续名作注册名,然后通过如把含有木马的ASP 文件的.asp后缀改成.jpg等方法,把文件上传到服务器,由于IIS6漏洞,jpg文件可以通过IIS6来运行,木马也随着运行,达到了攻击网站的目的,这种情况,可以由程序员对注册用户名称进行限制,排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外,要阻止用户对文件夹进行重命名操作。

这种方法在一定程度上可以防范一些攻击行为,但是这种方法实现起来非常麻烦,网站的开发人员在程序安全性方面必须掌握相当好的技术,并且必须要对整个网站涉及文件管理方面的程序进行检查,一个网站少则几十,多则上千个文件,要查完相当费时,并且难免会漏掉其中一两个。
  
另外,目前有很多现成的网站系统只要下载后上传到空间就可以用,开发这些现有网站系统的程序员技术水平参差不齐,难免其中一些系统会存在这种漏洞,还有相当一部分系统的源码是加密过的,很多站长想改也改不动,面对漏洞无乎无能为力。

C方案:服务器配置解决

网站管理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢?很多网站都允许用户上传一定数量的图片、Flash 等,很多时候网站开发人员为了日后管理方便,对上传的文件都统一放到指定的一个文件夹里面,管理员只要对该文件夹的执行权限设置成“无”,这样一定程度可以对漏洞进行预防。

D方案: 服务商解决 服务器商对服务器进行统一的整体性过滤,通过编写组件来限制这种行为。但是能做到这种技术服务的主机供应服务商不多。

关键词:安全漏洞    限制

分享到:

顶部 】 【 关闭
版权所有:佛山思海电脑网络有限公司 ©1998-2024 All Rights Reserved.
联系电话:(0757)22630313、22633833
中华人民共和国增值电信业务经营许可证: 粤B1.B2-20030321 备案号:粤B2-20030321-1
网站公安备案编号:44060602000007 交互式栏目专项备案编号:200303DD003  
察察 工商 网安 举报有奖  警警  手机打开网站