服务器容器漏洞-iis解析漏洞

1、介绍

名称:iis解析漏洞

编号:

原理:IIS 6.0 在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式:

/test.asp/test.jpg
test.asp;.jpg

应用:iis

版本:

2、测试

第一种是新建一个名为 "test.asp" 的目录,该目录中的任何文件都被 IIS 当作 asp 程序执行(特殊符号是“/”)。

第二种是上传名为 "test.asp;.jpg" 的文件,虽然该文件真正的后缀名是 ".jpg",但由于含有特殊符号";",仍会被 IIS 当做 asp 程序执行。

3、漏洞防护

(1)对新建目录文件名进行过滤,不允许新建包含‘.’的文件;

(2)曲线网站后台新建目录的功能,不允许新建目录;

(3)限制上传的脚本执行权限,不允许执行脚本;

(4)过滤 .asp/xm.jpg,通过 ISApi 组件过滤。

posted @   挖洞404  阅读(78)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
点击右上角即可分享
微信分享提示