Posted in有趣的网络
暖气来了,燥热!
家里的暖气来的早,上周六已经开始热了,今天好像有点正式供暖的架势, 整个地板热的让人走在上面很烦躁. 暖气费还没交,供热先上了. 擦了一天的地板,晚上加班擦擦擦到现在,收拾收拾准备过冬了.
一起来养蜂 ArtFax.CoM
很多企业站点还是使用asp程序,那边 也就是跑在经典的win2003+iis6的WEB环境下。
几年前IIS出过一个目录解析漏洞 就是 URL目录里 存在.asp字符。那么该目录下的文件会作为 asp文件来执行。如果在上传检查时不够严格,那么会出现严重的安全隐患。
这次发现的 IIS解析漏洞 出现了新的 形式 如下
1_asp;.jpg 只需要存在这样的文件名,机会被当做 ASP程序执行,由于不需要创建指定名称的目录,危害性还是很大的。
防范方法有以下三方面:
1.程序对于上传的文件进行文件类型检查。
2.对于upload目录设置IIS站点 无脚本执行权限。
3。 批量设置,使用IIS 的REWRITE功能。对于IDC服务商 比较有效,比较 不能挨个帮客户检测程序。
以下为整理的 URL规则,高中 排列组合 学的太烂,大小写切换 名称 都看晕了。