ASP又出新漏洞(有办法看源代码了)

最新推荐文章于 2025-06-26 09:11:48 发布
原创 最新推荐文章于 2025-06-26 09:11:48 发布 · 647 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp #microsoft #iis #server #微软 #数据库

Cerberus安全组织发现Microsoft IIS4/5 IndexServer存在严重漏洞,可通过特定请求查看ASP源代码,包括global.asa文件。这可能泄露敏感信息,如密码和数据库路径。已提供漏洞利用示例及解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<a href='http://www.biancheng88.cn/html/2008-11/DaiMa-680877.html'>ASP又出新漏洞(有办法看源代码了)</a><br><br>
                  IIS4/II5 ASP等文件暴露源代码重大漏洞<br>
<br>
受影响的系统:Microsoft IIS4.0 Microsoft II5.0<br>
不受影响的版本: 未知 <br>
远程: YES / 本地:UnKnown<br>
内容摘要:<br>
Cerberus安全组织发现了微软Index Server的第三个可以察看asp源代码和其它页面的漏洞。包括运行IIS4或者IIS5的Index Server,甚至以及添打了最近关于参看源代码的补丁程序的系统,或者没有.htw文件的系统,一样存在该问题。获得asp程序,甚至global.asa文件的源代码,无疑对系统是一个非常重大的安全隐患。往往这些代码中包含了用户密码和ID,以及数据库的源路径和名称等等。这对于攻击者收集系统信息,方面下一步的入侵都是非常重要的。 <br>
漏洞的利用: <br>
由于'null.htw'文件并非真正的系统映射文件,所以只是一个储存在系统内存中的虚拟文件。哪怕你已经从你的系统中删除了所有的真实的.htw文件,但是由于对null.htw文件的请求默认是由webhits.dll来处理。所以,IIS仍然收到该漏洞的威胁。 <br>
发送一个这样的请求:<br>
http://www.victim.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full <br>
将获得Web根目录下的default.asp的源<a href="http://www.biancheng88.cn/html/special/2008-11/DaiMa/" title="代码" target=_blank><B>代码</B></a>。<br>
例子:<br>
/default.asp是以web的根开始计算。如某站点的http://www.victim.com/welcome/welcome.asp<br>
那么对应就是:<br>
http://www.victim.com/null.htw?CiWebHitsFile=/welcome/welcome.asp%20&CiRestriction=none&CiHiliteType=Full<br>
<br>
解决方案:<br>
如果该webhits提供的功能是系统必须的,请下载相应的补丁程序。<br>
如果没必要,请用IIS的MMC管理工具简单移除.htw的映象文件。<br>
微软已经对该问题发放了补丁:<br>
Index Server 2.0:<br>
Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID=17727<br>
Alpha: http://www.microsoft.com/downloads/release.asp?ReleaseID=17728<br>
Windows 2000 Indexing Services:<br>
Intel: http://www.microsoft.com/downloads/release.asp?ReleaseID=17726 <br>
相关链接:<br>
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp<br>
http://soft.xxinfo.ha.cn/mudfrog/Vulnerbilities/Data/aspinc.htm <br>
http://soft.xxinfo.ha.cn/mudfrog/Vulnerbilities/Data/aspsucurityone.htm<br>
http://soft.xxinfo.ha.cn/mudfrog/txt/see-asp.htm  <br>
 <br>

                 

.NET/C# ⾯试题汇总系列:ASP.NET常见面试题 001
Code365
07-07 478
从值类型接口转换到引用类型装箱。从引用类型转换到值类型拆箱。unsafe:非托管代码。不经过CLR运行。RTTI:类型识别系统。代码后植。都不能。动态获取程序集信息Web应用,类似Thread Pool,提高并发性能。虚函数:没有实现的,可由子类继承并重写的函数。抽象函数:规定其非虚子类必须实现的函数,必须被重写。XML即可扩展标记语言。eXtensible Markup Language.标记是指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种信息的文章等。
.net面试题大全(有答案)
霍力强的专栏
02-21 2365
1 (1)面向对象的语言具有__继承性_性、_封装性_性、_多态性 性。 (2)能用foreach遍历访问的对象需要实现 _ IEnumerable 接口或声明_ GetEnumerator 方法的类型。1.c#中的三元运算符是__?:__ 2.当整数a赋值给一个object对象时,整数a将会被__装箱___? 3.类成员有__3__种可访问形式? 4.public static const in
ASP漏洞源代码下载
10-12
给出了扫描ASP网页漏洞具体的源代码,防网站漏洞扫描asp代码。
ASP漏洞网站
06-04
漏洞网站,这个网站可以供服务器使用,这里我们可以用IIS搭建试试这个网站
深入探究ASP漏洞及防护策略
最新发布
weixin_35750747的博客
06-26 863
ASP(Active Server Pages)作为一种服务器端脚本环境,曾在早期互联网时代广泛应用于动态网页和网站的开发。尽管如今更为先进的技术(如ASP.NET)已逐渐取代了传统ASP,但不少遗留系统仍然使用着ASP技术。了解ASP中可能存在的漏洞对于维护这些系统的安全性至关重要。身份验证和会话管理是网络安全的关键环节。开发者必须采取严格的措施来确保用户账户的安全。通过实施强密码策略、多因素认证、安全的会话处理以及合适的会话超时和销毁机制,可以有效防止身份验证和会话管理中常见的安全漏洞
ASP漏洞自动注入程序,VB源代码.rar
07-09
流氓集团编写的VB版ASP漏洞自动注入程序,靠猜解实现的,输入注入网址和特征字符,选择Post或Get请求方式,程序开始猜解,这里的猜解判断方式有:IIS提示分析漏洞、ASCII码逐字分析漏洞数据库漏洞有Access或SqlServer数据库
一个用c#写的扫描asp源码漏洞的应用程序(1)
黑客攻防 | .net 源代码下载 | ASP.NET开发 | ORACLE数据库开发 | JAVASCRIPT脚本下载 | java源码下载
03-06 623
导读:   这儿就是昨天说的那个程序主要部分的源代码,如果要全部代码请到我的主页去下载。   贴不开,分两次。      //--------------------------------------------------------------------------   //   // file name : form1.cs   //   // description : 主fo
常见漏洞知识库(原理/场景/修复)
lefooter的博客
04-30 6429
SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。 0x02 常见应用场景 SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...
WEB应用漏洞及修复汇总
专注企业信息安全-sec
11-23 1848
仅供参考   1.SQL注入 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)...
转载 .net面试题大全(有答案) & asp.net面试集合
09-10 2196
转载 .net面试题大全(有答案)from : http://www.cnblogs.com/wllyy189/archive/2007/05/31/765823.html在网上找来的,希望对大家有所帮助。1 (1)面向对象的语言具有__继承性_性、_封装性_性、_多态性 性。(2)能用foreach遍历访问的对象需要实现 _ IEnumerable 接口或声明_ GetE
asp的各种漏洞(asp的各种漏洞)
06-13
全面介绍了asp的各种漏洞,希望能给大家有所帮助,特别是站长们。
获取ASP源代码的程序
06-04
获取ASP源代码的程序“白鸽 V0.2”源码(CB5)
E源代码修复程序
01-06
E源代码修复程序 已知:玩了类似于穿越火线那种QQ游戏之后再打开E代码,有可能会造成E源文件损坏!! 本程序来自E论坛。放这备用。
带SQL注入的一个ASP网站源码
12-29
带SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错!
虚拟web目录容易泄露ASP源代码 (MS,缺陷)
软件开发
11-19 554
虚拟web目录容易泄露ASP源代码 (MS,缺陷)                  涉及程序: Microsoft Internet Information Server/Index Server   描述: 震撼安全发现:新的漏洞允许查看http://www.biancheng88.cn/html/special/2008-11/Web/" title="web" target=_blank>
ASP漏洞大全
sxzhchr的专栏
12-13 364
ASP漏洞大全
Web攻防——各脚本语言特有漏洞ASP
weixin_44616206的博客
01-31 4135
Web攻防——各脚本语言特有漏洞总结之ASP 脚本语言 ASP ASPX PHP JAVA Python JavaScipt 通用安全漏洞 ASP 常见搭建组合:win+iis+asp+access(sqlserver) IIS搭建网站 IIS中间件 网站源码和组件 IIS配置站点 地址+站点+映射目录 设置主页文件 配置解析asp服务 启用父路径 给予该网站目录读写数据库的权限 访问 登录 例:Easycms、aspcms等:安装包安装->新建网站->设置首页文件-
ASP漏洞集-ASP漏洞分析和解决方法
Execute的专栏
01-30 2340
1 在ASP程序后加个特殊符号,能看到ASP源程序  受影响的版本:  win95+pws  IIS3.0  98+pws4 不存在这个漏洞。  IIS4.0以上的版本也不存在这个漏洞。  问题描述:  这些特殊符号包括小数点,%81, ::$DATA。比如:http://someurl/somepage.asp.http:// someurl/somepage.asp%81http:// som
ASP旅游类协程源代码学习参考
标签“ASP 旅游 源代码”揭示了源代码使用的开发技术。ASP,即 Active Server Pages,是一种服务器端脚本环境,用于创建动态交互式网页。ASP微软开发的技术,它在2000年代早期非常流行,尽管后来被 ASP.NET 取代...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值