IIS的ASP目录漏洞和IIS分号漏洞(;)临时解决方案

  先说解决方法:下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来。

  把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI,名字为ISAPI_Rewrite,这就是伪静态,做过的不用安装了。

  下载漏洞补丁包,即下图选择的项目,下载打开!

  把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini。

  或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行!这样就能防止这两个IIS漏洞了,是要这两条规则有效就行了,ISAPI_Rewrite目录下面的httpd.ini是全局配置文件,会应用到所有网站,这样会防护所有网站不受漏洞攻击。

  我们再说一下这个漏洞(下图),只要一个文件有(.asp)后面再带上分号(;)后面再带上一个随意字符加上扩展名如(cao.asp;ca.jpg)这个文件Windows会当成jpg图像文件,但是这种文件在IIS中会被当成asp运行,(cao.asp;ca.jpg)这个文件IIS会识别成(cao.asp),分号以后的东西忽略了- -。所以说(cao.asp;.jpg)这样的文件名也行!

  补丁包里面有一个图片,把法放到各个站点下面,如果有人利用这个漏洞的话!会看到这张图片!

  原理:在Windows中要搜索多个文件是使用分号(;)进行分割的,如果这个文件本身带有分号怎么?- -。哈哈系统就不能搜索这种文件的!下图,明明有这个h.asp;kk.jpg这个文件,在Windows搜索中会被当成h.asp和kk.jpg这两个文件来搜索,这是Windows的一个设计不当,应该说不应该让分号(;)做文件名的!

  但是要知道cdx、cer等等等等文件都是asp的映射!所以aaa.cdx;kk.jpg都会被当成asp运行!如果这些映射没有删除都会被利用,用上面的方法这些都会变得安全!

  下图是ASP目录漏洞,只要目录名为xxxx.asp这个目录下面的所有文件都会被当成asp文件运行。这是asp目录漏洞

  银月网络,银月服务器工具提供IIS保护更新策略。

时间: 2014-12-04

IIS的ASP目录漏洞和IIS分号漏洞(;)临时解决方案的相关文章

IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法_win服务器

解决方法: 下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来. 把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI,名字为ISAPI_Rewrite,这就是伪静态,做过的不用安装了 下载漏洞补丁包,即下图选择的项目,下载打开! 把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini. 或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行!这样就能防止这两个IIS漏洞

在Windows 7中IIS配置Asp.Net虚拟目录的方法及常见错误

在Win7中IIS配置Asp.Net虚拟目录的方法总结! 一.右键[网站],点击[添加虚拟目录]或[虚拟应用程序],笔者建议最好建立虚拟应用程序,因为这就跟一个网站差不多,不用考虑路径问题. 二.直接输入相应内容选择路径就行了,如果要指定[应用程序池],需要先建立一个新的[应用程序池],配置与网站差不多了. 三.运行后,如果出现以下错误:HTTP 错误 500.19 一般是web.config配置问题,很简单,找到以下内容 <system.webServer>        <defau

ASP.NET页面与IIS底层交互和工作原理详解

ASP.NET页面与IIS底层交互和工作原理详解  第一回:   引言 我查阅过不少Asp.Net的书籍,发现大多数作者都是站在一个比较高的层次上讲解Asp.Net.他们耐心.细致地告诉你如何一步步拖放控件.设置控件属性.编写CodeBehind代码,以实现某个特定的功能. 这种做法,实际上是回答了"如何去做"的问题,却没有回答"为什么可以这样做"的问题. 尽管我很推崇 悉江华 先生的<圣殿祭祀的Asp.Net开发详解>一书,但当我翻看了一下其对角色(R

IIS漏洞整理大全_漏洞研究

去年下半年关于IIS的漏洞层出不穷,鉴于目前IIS的广泛使用,觉得有必要把收集的资料加以总结一下.  1.介绍  这里介绍的方法主要通过端口80来完成操作,具有很大的威胁性,因为作为网络服务器80端口总要打开的.如果想方便一些,下载一些WWW.CGI扫描器来辅助检查.  而且要知道目标机器运行的是何种服务程序,你可以使用以下命令:  telnet <目标机> 80  GET HEAD / HTTP/1.0  就可以返回一些域名和WEB服务程序版本,如果有些服务器把WEB服务运行在8080,81

安全维护 IIS下 ASP 站点的高级技巧_服务器

一. 前言 (仅以此文感谢好友bigeagle.不是他,我可能不用这么担心win2000安全问题的.呵呵!) 人说,一朝被蛇咬,十年怕.....,就是这样.2000年初,当我终于摆脱winnt 4.0 server那可怕的补丁之旅,迈向win2000 server时.我终于可以比较放心我的服务器了.但随着SQL SERVER的补丁出现.我知道,与微软的补丁因缘又开始轮回了.但还好.win2000自动化的管理还是让我放心好多,而以前管理winnt后的失眠症状也逐渐消失了.偶尔还能见到我的"梦&qu

安装过程中的IIS与asp安全防护

IIS是Internet Information Server的缩写,它是微软公司主推的服务器,最新的版本是Windows2000里面包含的IIS 5,IIS与WindowNT Server完全集成在一起,因而用户能够利用Windows NT Server和NTFS(NT http://www.aliyun.com/zixun/aggregation/19352.html">File System,NT的文件系统)内置的安全特性,建立强大,灵活而安全的Internet和Intranet站点

使用 IIS 进行ASP.NET 成员/角色管理(1):安全和配置概述

asp.net|iis|安全 适用于: Microsoft ASP.NET 2.0 Microsoft Visual Studio 2005 Microsoft Internet 信息服务 摘要:Peter Kellner 就创建应用程序来管理 Microsoft ASP.NET 2.0 成员身份数据库写了两篇文章,这是第一篇.本文主要论述如何保证解决方案的安全性以确保只有适合的管理员才能访问这些数据. 摘要 本系列由两篇文章组成,论述如何安全使用和设置用于管理 ASP.NET Membersh

WCF技术剖析之二:再谈IIS与ASP.NET管道

IIS 5.x与ASP.NET 我们先来看看IIS 5.x是如何处理基于ASP.NET资源(比如.aspx,.asmx等)请求的,整个过程基本上可以通过图1体现. IIS 5.x运行在进程InetInfo.exe中,在该进程中一个最重要的服务就是名为World Wide Web Publishing Service(简称W3SVC)的Windows Service.W3SVC的主要功能包括HTTP请求的监听.工作进程的管理以及配置管理(通过从Metabase中加载相关配置信息)等. 当检测到某个

WinXP下安装IIS搭建ASP环境教程

安装IIS 5.1 1.下载IIS 5.1 (winxp sp3 IIS 5.1) 2.打开[控制面板]->[添加或删除程序],点击[添加/删除Windows组件(A)],勾选[Internet信息服务(IIS)],点击[下一步] 3.提示[插入磁盘],点击[确定] 4.弹出[所需文件],点击[浏览] 5.找到下载好并解压出来的IIS 5.1(这里为D盘下的Win XP IIS5.1),选择并打开 接着打开 6.然后点击[确定],就会开始安装. 注:安装的过程中,也许还会弹出几次类似上面的[所需