日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
IIS下ASP目錄漏洞和IIS分號(hào)漏洞(;)的臨時(shí)解決方法

解決方法:

下載 銀月服務(wù)器工具,使用工具->組件下載器下載ISAPI_Rewrite,解壓出來(lái)。

把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加為ISAPI,名字為ISAPI_Rewrite,這就是偽靜態(tài),做過(guò)的不用安裝了

下載漏洞補(bǔ)丁包,即下圖選擇的項(xiàng)目,下載打開!

把ISAPI_Rewrite目錄中的httpd.ini替換成補(bǔ)丁包中的httpd.ini。

或者保證ISAPI_Rewrite下面的httpd.ini有下圖選擇的兩行規(guī)則也行!這樣就能防止這兩個(gè)iis漏洞了,是要這兩條規(guī)則有效就行了,ISAPI_Rewrite目錄下面的httpd.ini是全局配置文件,會(huì)應(yīng)用到所有網(wǎng)站,這樣會(huì)防護(hù)所有網(wǎng)站不受漏洞攻擊。

我們?cè)僬f(shuō)一下這個(gè)漏洞(下圖),只要一個(gè)文件有(.asp)后面再帶上分號(hào)(;)后面再帶上一個(gè)隨意字符加上擴(kuò)展名如(cao.asp;ca.jpg)這個(gè)文件Windows會(huì)當(dāng)成jpg圖像文件,但是這種文件在IIS中會(huì)被當(dāng)成asp運(yùn)行,(cao.asp;ca.jpg)這個(gè)文件IIS會(huì)識(shí)別成(cao.asp),分號(hào)以后的東西忽略了- -。所以說(shuō)(cao.asp;.jpg)這樣的文件名也行!

補(bǔ)丁包里面有一個(gè)圖片,把法放到各個(gè)站點(diǎn)下面,如果有人利用這個(gè)漏洞的話!會(huì)看到這張圖片!

 

原理:在Windows中要搜索多個(gè)文件是使用分號(hào)(;)進(jìn)行分割的,如果這個(gè)文件本身帶有分號(hào)怎么?- -。哈哈系統(tǒng)就不能搜索這種文件的!下圖,明明有這個(gè)h.asp;kk.jpg這個(gè)文件,在Windows搜索中會(huì)被當(dāng)成h.asp和kk.jpg這兩個(gè)文件來(lái)搜索,這是Windows的一個(gè)設(shè)計(jì)不當(dāng),應(yīng)該說(shuō)不應(yīng)該讓分號(hào)(;)做文件名的!

但是要知道cdx、cer等等等等文件都是asp的映射!所以aaa.cdx;kk.jpg都會(huì)被當(dāng)成asp運(yùn)行!如果這些映射沒(méi)有刪除都會(huì)被利用,用上面的方法這些都會(huì)變得安全!

 

下圖是ASP目錄漏洞,只要目錄名為xxxx.asp這個(gè)目錄下面的所有文件都會(huì)被當(dāng)成asp文件運(yùn)行。這是asp目錄漏洞

如果無(wú)法加載,請(qǐng)給予IIS_Rewrite文件夾network和network service只讀權(quán)限!

銀月網(wǎng)絡(luò),銀月服務(wù)器工具。 
當(dāng)然對(duì)于已經(jīng)使用rewrite的朋友可以直接復(fù)制備份文件與圖片即可
/201008/tools/rewrite_rule.rar


網(wǎng)站題目:IIS下ASP目錄漏洞和IIS分號(hào)漏洞(;)的臨時(shí)解決方法
URL網(wǎng)址:http://www.5511xx.com/article/djcosco.html