三種方法解決IIS6目錄檢查漏洞
[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!
一 、 Windows 2003 Enterprise Edition IIS6 目錄檢查漏洞的描述
1、Windows 2003 Enterprise Edition是微軟目前主流的服務(wù)器操作系統(tǒng)。 Windows 2003 IIS6 存在著文件解析路徑的漏洞,當(dāng)文件夾名為類似hack.ASP的時候(即文件夾名看起來像一個ASP文件的文件名),此時此文件夾下的任何類型的文件都可以在IIS中被當(dāng)做ASP程序來執(zhí)行。這樣黑客即可上傳擴(kuò)展名為.jpg或.gif之類的看起來像是圖片文件的木馬文件,通過訪問這個文件即可運行木馬。
2、 擴(kuò)展名為.jpg/.gif的木馬檢查方法:
在資源管理器中使用詳細(xì)資料方式,按類別查看。點“查看”菜單--“選擇詳細(xì)信息”--勾選上“尺寸”,確定。此時,正常的圖片文件會顯示出圖片的尺寸大小,如果沒有顯示,則99%可以肯定是木馬文件。用記事本程序打開即可100%確定.
3、 漏洞影響的范圍:
安裝了IIS6的服務(wù)器(windows2003),漏洞特征網(wǎng)站的管理權(quán)限被盜、導(dǎo)致網(wǎng)站被黑。因為微軟尚未發(fā)布這個漏洞的補(bǔ)丁,所以幾乎所有網(wǎng)站都會存在這個漏洞。
二、如何解決IIS6安全漏洞?
A 方案 :打補(bǔ)丁
本來安裝補(bǔ)丁是一種比較保險的方法,可是漏洞已發(fā)現(xiàn)一段時間了,微軟一直沒有發(fā)布相關(guān)的補(bǔ)丁。
B方案:網(wǎng)站程序員解決
對于那些允許注冊帳號的網(wǎng)站來說,在網(wǎng)站程序編寫的時候,程序員通常為了管理方便,便以注冊的用戶名為名稱來建立一個文件夾,用以保存該用戶的數(shù)據(jù)。例如一些圖片、文字等等信息。黑客們就是利用了這一特點,特意通過網(wǎng)站注冊一個以.或者.cer的后續(xù)名作注冊名,然后通過如把含有木馬的ASP 文件的.asp后綴改成.jpg等方法,把文件上傳到服務(wù)器,由于IIS6漏洞,jpg文件可以通過IIS6來運行,木馬也隨著運行,達(dá)到了攻擊網(wǎng)站的目的,這種情況,可以由程序員對注冊用戶名稱進(jìn)行限制,排除一些帶有*.asp *.asa等字符為名的注冊名。加強(qiáng)網(wǎng)站自身的安全和防范措施。另外,要阻止用戶對文件夾進(jìn)行重命名操作。
這種方法在一定程度上可以防范一些攻擊行為,但是這種方法實現(xiàn)起來非常麻煩,網(wǎng)站的開發(fā)人員在程序安全性方面必須掌握相當(dāng)好的技術(shù),并且必須要對整個網(wǎng)站涉及文件管理方面的程序進(jìn)行檢查,一個網(wǎng)站少則幾十,多則上千個文件,要查完相當(dāng)費時,并且難免會漏掉其中一兩個。
另外,目前有很多現(xiàn)成的網(wǎng)站系統(tǒng)只要下載后上傳到空間就可以用,開發(fā)這些現(xiàn)有網(wǎng)站系統(tǒng)的程序員技術(shù)水平參差不齊,難免其中一些系統(tǒng)會存在這種漏洞,還有相當(dāng)一部分系統(tǒng)的源碼是加密過的,很多站長想改也改不動,面對漏洞無乎無能為力。
C方案:服務(wù)器配置解決
網(wǎng)站管理員可以通過修改服務(wù)器的配置來實現(xiàn)對這個漏洞的預(yù)防。如何對服務(wù)器進(jìn)行配置呢?很多網(wǎng)站都允許用戶上傳一定數(shù)量的圖片、Flash 等,很多時候網(wǎng)站開發(fā)人員為了日后管理方便,對上傳的文件都統(tǒng)一放到指定的一個文件夾里面,管理員只要對該文件夾的執(zhí)行權(quán)限設(shè)置成“無”,這樣一定程度可以對漏洞進(jìn)行預(yù)防。
D方案: 服務(wù)商解決 服務(wù)器商對服務(wù)器進(jìn)行統(tǒng)一的整體性過濾,通過編寫組件來限制這種行為。但是能做到這種技術(shù)服務(wù)的主機(jī)供應(yīng)服務(wù)商不多。
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!