当前位置: 首页 > 图文教程 > 网络编程 > ASP > MS IIS server的ASP安全缺陷 (MS,缺陷)

ASP
微软建议的ASP性能优化28条守则(6)
微软建议的ASP性能优化28条守则(7)
微软建议的ASP性能优化28条守则(8)
微软建议的ASP性能优化28条守则(9)
用ASP建立站内搜索
ASP开发中数据库文件调用(1)
ASP开发中数据库文件调用(2)
ASP开发中数据库文件调用(3)
基于ASP的编程常见问题
asp编写的加密和解密类
模似windows XP 左侧的菜单效果(1)
模似windows XP 左侧的菜单效果(2)
模似windows XP 左侧的菜单效果(3)
web应用程序中的数据库连接(1)
web应用程序中的数据库连接(2)
ASP.net中md5加密码的方法
不能使用asp标记的时候的一个解决办法
asp 用存储过程实现数据分页
ASP 五大高效提速技巧
ASP+Access的安全隐患及对策

MS IIS server的ASP安全缺陷 (MS,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 224 ::
收藏到网摘: n/a

  涉及程序:
Microsoft IIS server
  
描述:
IIS使有权上传和使用asp程序的用户能更改任何文件
  
详细:
这是IIS的一个非常严重的漏洞,即使是IIS4.0,仍然没有补上这个漏洞: 你建立
如http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!

然后上传到任何一个web目录中(允许脚本执行),如:

http://www.xxx.com/frankie/write.asp

然后在浏览器中输入该地址

这样,将替换首页! 红字黑底,显示: This page was hacked by small-hacker!

解决方案:
没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本

  
安全建议:
管理员应该知道这样一个事实:如果给用户开放ASP上传和脚本执行权限,等于把整个系统的控制权交给了用户。所以绝不要轻易开
放asp的权限给一般用户
  
相关下载:
http://www.cnns.net/frankie/text/aspwrite.txt