日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

漏洞介紹：IIS是微軟推出的一款webserver，使用較為廣泛，在支持asp/asp.net的同時還可以較好的支持PHP等其他語言的運行。但是80sec發(fā)現(xiàn)在IIS的較高版本中存在一個比較嚴(yán)重的安全問題，在按照網(wǎng)絡(luò)上提供的默認(rèn)配置情況下可能導(dǎo)致服務(wù)器泄露服務(wù)器端腳本源碼，也可能錯誤的將任何類型的文件以PHP的方式進(jìn)行解析，使得惡意的攻擊者可能攻陷支持PHP的IIS服務(wù)器，特別是虛擬主機用戶可能受的影響較大。

漏洞分析：

IIS支持以CGI的方式運行PHP，但是此種模式下，IIS處理請求的時候可能導(dǎo)致一些同80sec提到的nginx安全漏洞一樣的問題，任何用戶可以遠(yuǎn)程將任何類型的文件以PHP的方式去解析，你可以通過查看Phpinfo中對php的支持方式，其中如果為CGI/FAST-CGI就可能存在這個問題。

黑盒訪問

http://www.80sec.com/robots.txt/1.php

查看文件是否存在和返回的HTTP頭就可以知道是否存在此漏洞。

同時，如果服務(wù)器支持了PHP，但應(yīng)用中使用的是asp就可以通過如下方式來直接查看服務(wù)端asp源碼

http://www.80sec.com/some.asp/1.php

漏洞廠商：http://www.microsoft.com

解決方案：

我們已經(jīng)嘗試聯(lián)系官方，但是此前你可以通過以下的方式來減少損失

關(guān)閉cgi.fix_pathinfo為0

【編輯推薦】

1. IIS的安裝以及常見問題的解決方法
2. 精心配置IIS打造安全Web服務(wù)器
3. 在線門診火爆進(jìn)行中：從檢測到防護(hù)：全面打造網(wǎng)站安全
4. 網(wǎng)站安全解決方案白皮書下載
5. SQL注入及XSS攻擊防御技術(shù)白皮書下載
6. 拯救網(wǎng)站運維經(jīng)理趙明有獎活動進(jìn)行中
7. 以色列終極反入侵武器：CHECK POINT軟件刀片

本文標(biāo)題：IIS源碼泄露及文件類型解析錯誤
URL分享：http://www.5511xx.com/article/djdhedi.html