3种方法解决IIS6目录检查漏洞

核心提示：3种方法解决IIS6目录检查漏洞

1 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描写

1、Windows 2003 Enterprise Edition是微软目前主流的服务器操纵系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞，当文件夹名为类似hack.ASP的时候（即文件夹名看起来像1个ASP文件的文件名），此时此文件夹下的任何类型的文件都可以在IIS中被当作ASP程序来履行。这样黑客即可上传扩大名为.jpg或.gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。

2、 扩大名为.jpg/.gif的木马检查方法：

在资源治理器中使用具体资料方式，按种别查看。点“查看”菜单－－“选择具体信息”－－勾选上“尺寸”，肯定。此时，正常的图片文件会显示出图片的尺寸大小，假设没有显示，则99%可以肯定是木马文件。用记事本程序打开即可100%肯定.

3、 漏洞影响的范围：

安装了IIS6的服务器(windows2003)，漏洞特点网站的治理权限被盗、导致网站被黑。由于微软还没有发布这个漏洞的补钉，所以几近所有网站都会存在这个漏洞。

2、如何解决IIS6安全漏洞?

A 方案 ：打补钉

本来安装补钉是1种比较保险的方法，可是漏洞已发现1段时间了，微软1直没有发布相干的补钉。

B 方案：网站程序员解决

对那些答应注册帐号的网站来讲，在网站程序编写的时候，程序员通常为了治理方便，便以注册的用户名为名称来建立1个文件夹，用以保存该用户的数据。例如1些图片、文字等等信息。黑客们就是利用了这1特点，特地通过网站注册1个以.或.cer的后续名作注册名，然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法，把文件上传到服务器，由于IIS6漏洞，jpg文件可以通过IIS6来运行，木马也随着运行，到达了攻击网站的目的，这类情况，可以由程序员对注册用户名称进行限制，排除1些带有*.asp *.asa等字符为名的注册名。加强网站本身的安全和防范措施。另外，要禁止用户对文件夹进行重命名操纵。

这类方法在1定程度上可以防范1些攻击行动，但是这类方法实现起来非常麻烦，网站的开发职员在程序安全性方面必须掌控相当好的技术，并且必须要对全部网站触及文件治理方面的程序进行检查，1个网站少则几10，多则上千个文件，要查完相当费时，并且难免会遗漏其中1两个。

另外，目前有很多现成的网站系统只要下载后上传到空间便可以够用，开发这些现有网站系统的程序员技术水平良莠不齐，难免其中1些系统会存在这类漏洞，还有相当1部份系统的源码是加密过的，很多站长想改也改不动，面对漏洞无乎无能为力。

C 方案：服务器配置解决

网站治理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢？很多网站都答利用户上传1定数目的图片、Flash等，很多时候网站开发职员为了往后治理方便，对上传的文件都同1放到指定的1个文件夹里面，治理员只要对该文件夹的履行权限设置成“无”，这样1定程度可以对漏洞进行预防。

D 方案： 服务商解决 服务器商对服务器进行同1的整体性过滤，通过编写组件来限制这类行动。但是能做到这类技术服务的主机供给服务商未几。

评论加载中... 内容： 评论者： 验证码：