MS IIS server的ASP安全漏洞缺陷
发布时间:2008-10-05 08:54:00
标签:iis,漏洞,缺陷,ASP安全
涉及程序:
Microsoft IIS server
描述:
IIS使有权上传和使用asp程序的用户能更改任何文件
详细:
这是IIS的一个非常严重的漏洞,即使是IIS4.0,仍然没有补上这个漏洞:
你建立如http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!
然后上传到任何一个web目录中(允许脚本执行),如:
http://www.xxx.com/frankie/write.asp
然后在浏览器中输入该地址
这样,将替换首页! 红字黑底,显示: This page was hacked by small-hacker!
解决方案:
没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本
安全建议:
管理员应该知道这样一个事实:如果给用户开放ASP上传和脚本执行权限,等于把整个系统的控制权交给了用户。所以绝不要轻易开放asp的权限给一般用户/
0
投稿
猜你喜欢
- 北京时间11月19日上午消息,网易今早公布2009财年第三季财报,管理层随后于9点举行分析师电话会议,网易CEO丁磊及代理CFO蔡安活参会并
- 在点石看了KYW的中国SEOer的级别,觉得很有趣,于是想写一篇中国网络赚钱的级别。和KYW不同的是他是高手可以站在一个很高的层面看待各类人
- 就像以往的Xbox Live面板升级一样,微软现在开始向公众开放参加X360新功能公开测试的机会。你可以提前体验包括Zune、Faceboo
- 之前,探讨了地方网站的文化建设与新闻推广,今天和大家交流的主题是地方网站的情感培育。这里,着重谈“怀旧&rdqu
- 有Godaddy主机用户问怎样查看自己的网站的运行情况呢?可以使用WebmasterTools,你可以访问crawlstatistics,r
- 一、序言现在很多网站对用户的访问权限进行了严格的限制,用户在访问某些资源时需要给出“用户名/口令"来确认自己的身份。目前,使用最多
- 软件列表:checkpassword-0.90(pop3验证用户程序)cmd5checkpw-0.22.tar.gzucspi-tcp-0.
- 今天来介绍Godaddy主机用户如何在共享托管帐户上创建新增FTP用户。那Godaddy主机用户为什么需要在共享托管帐户上新增FTP用户?有
- 如果没有经过适当的处理和优化,WordPress博客中将有很多内容重复的页面,而这些重复内容会不利于搜索引擎的索引。本文整理和归纳了关于“重
- 下午15时左右,百度再次改版百度指数(index.baidu.com)功能和布局。新布局更加直观,便于查看相关检索词数据与相关新闻内容。此外
- 10月28日下午消息,电子商务巨头阿里巴巴今日在杭州宣布,阿里巴巴(中国)教育科技有限公司(以下简称“阿里学院”)正式揭牌成立。新成立的阿里
- Photoshop官方提供免费相册,非常酷的一个相册,全站基于Flash技术架构的,其操作非常方便。容量大小为2G,支持图片直接外链,仅可上
- 关于关键词的选取在SEO工作中,关键词的选取对于整个SEO工作是否有效有着很大的影响,如果关键词选取不当,就会导致关键词排名虽高,但是没有太
- 单个网页的最优化是搜索引擎优化的细致工作,需要一页一页地认真展开,如同铁路的修建,需要一米米的推进,直到全线贯通,这个工作也是让许多SEO人
- #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotte
- 一. HTTP压缩概述HTTP压缩是在Web服务器和 浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML
- 简单讲一些关键词排名浮动的问题主要是新站,我们要正确的看待关键词排名浮动的问题。1、关键词排名浮动不大的情况:表现为关键词会在1到2.3个页
- 最近找了个工作,给公司做网站优化,所以第一次接触企业网站,谈谈对企业网站的理解。这个公司主要是做4008号码销售的。公司要优化的目标就是:客
- 完成了对Exchange Server 2003的安装,不过在安装完成之后,我们还需要对其进行一些基本的配置。今天我就给大家介绍一下如何对E
- 本文基本上没有技术含量,只是觉得用起来很方便,原来生活可以更美的……要是用隐身的话,会被在线的好友看到,先是上线,有马上下线,很容易被看出是