top
Loading...
MSIISserver的ASP安全缺陷(MS,缺陷)
涉及程序:
Microsoft IIS server

描述:
IIS使有權上傳和使用asp程序的用戶能更改任何文件

詳細:
這是IIS的一個非常嚴重的漏洞,即使是IIS4.0,仍然沒有補上這個漏洞: 你建立
如http://www.cnns.net/frankie/text/aspwrite.txt這樣一個簡單的asp程序取名為write.asp,注意,程序不允許換行!

然后上傳到任何一個web目錄中(允許腳本執行),如:

http://www.xxx.com/frankie/write.asp

然后在瀏覽器中輸入該地址

這樣,將替換首頁! 紅字黑底,顯示: This page was hacked by small-hacker!

解決方案:
沒有相關補丁,只能禁止非管理員的用戶上傳asp程序并執行腳本


安全建議:
管理員應該知道這樣一個事實:如果給用戶開放ASP上傳和腳本執行權限,等于把整個系統的控制權交給了用戶。所以絕不要輕易開
放asp的權限給一般用戶

相關下載:
http://www.cnns.net/frankie/text/aspwrite.txt

北斗有巢氏 有巢氏北斗