报告一个IIS6,ASP的一个超级BUG[ZT]

转载 于 2010-03-30 10:43:00 发布 · 490 阅读 · 0
文章标签:

#asp #iis #服务器 #微软

本文介绍了一个严重的ASP漏洞,黑客可以通过上传特殊格式的文件来利用此漏洞。文章提供了禁用特定字符以防止恶意文件被解释为ASP代码的解决方案。

这是一个很严重的BUG, 目前微软还没有提供HOTFIX.

 

当你的服务器允许运行ASP , 而你的程序(ASP/ASP.NET/PHP/JSP/...)允许上传文件时

 

黑客可以上传一个  xxxx.asp;.jpg 文件.

 

当浏览该文件时, 然后该文件会直接以ASP的方式被执行!

 

解决方法是任何上传的功能, 都要禁止 '.asp;.' , 或者干脆禁止 ';' 符号.

关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值