网站运营
位置:首页>> 网站运营>> MS IIS server的ASP安全漏洞缺陷

MS IIS server的ASP安全漏洞缺陷

  发布时间:2008-10-05 08:54:00 

标签:iis,漏洞,缺陷,ASP安全

涉及程序:

Microsoft IIS server

描述:

IIS使有权上传和使用asp程序的用户能更改任何文件

详细:

这是IIS的一个非常严重的漏洞,即使是IIS4.0,仍然没有补上这个漏洞:

你建立如http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!

然后上传到任何一个web目录中(允许脚本执行),如:
http://www.xxx.com/frankie/write.asp

然后在浏览器中输入该地址

这样,将替换首页! 红字黑底,显示: This page was hacked by small-hacker!

解决方案:

没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本

安全建议:

管理员应该知道这样一个事实:如果给用户开放ASP上传和脚本执行权限,等于把整个系统的控制权交给了用户。所以绝不要轻易开放asp的权限给一般用户/


0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com