超级会员免费看
HTTP网络安全攻防策略解析
1. IIS拒绝服务漏洞
Code Red利用了三种IIS拒绝服务漏洞,具体如下:
| 漏洞类型 | 详情 |
| — | — |
| IIS 4.0 URL重定向拒绝服务漏洞 | 该漏洞源于IIS 4.0处理URL重定向的代码,此代码无法正确处理请求实际长度与指定长度不同的HTTP请求,导致访问违规和服务失败。过长的URL重定向“请求”会使IIS 4.0服务崩溃。 |
| IIS 5.0 WebDAV锁定方法内存泄漏拒绝服务漏洞 | WebDAV漏洞是由于对长且无效的HTTP请求进行了不恰当的边界检查,无效请求会导致访问违规,使IIS 5.0进程失败。远程攻击者可通过HTTP LOCK方法反复请求不存在的文件,耗尽内存资源,使主机系统崩溃。可利用以下代码进行攻击:
<br>LOCK/aaaaaaaaaaaaaaaaaaaaaaaaaa.htw HTTP/1.0<br>- or -<br>GET/iisstart.asp?uc = a HTTP/1.0<br> |
| IIS 5.0格式错误的MIME内容拒绝服务漏洞 | 此漏洞是因为IIS 5.0处理MIME信息的方式存在缺陷。若IIS服务器包含特定格式错误的MIME内容,处理该内容时IIS 5.0服务会失败。若IIS 5.0服务器上的Web内容包含格式错误的MIME信息,处理时服务器会在系统表中插入无效条目,导致服务器无法提供任何内容,直到该条目被移除。攻击方式是将格式错误的MIME内容放在服务器上并调用,实现拒绝服务。 |
大多数基于应用程序的拒绝服务漏洞可通过使用最新版本的We
订阅专栏 解锁全文
扫一扫
1738
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
