English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 业界动态 >> 用防盗链系统修复IIS6.0解析漏洞的技巧
 

用防盗链系统修复IIS6.0解析漏洞的技巧

威盾防火墙 2014-12-23
 
网站要真正做好安全,涉及的东西太广了,主要是因为渗透的途径太多了,呵呵……咱这次不讲那么多,发现网上貌似没什么人说道关于IIS6.0
解析漏洞的修补方法,刚好在渗透一个站的时候遇到了这个问题,搭建了环境测试了下,顺便就想起了写这个文章了,进主题吧,IIS6.0的解析
漏洞大家都清楚,这里用asp作说明,比如seay.asp;.jpg 或者seay.asp;asp之类的,呵呵……就不说那么多了,这样都是以asp解析的,那么比
如这么一个URL:http://seay.sinaapp.com/seay.asp;.jpg  那么实际上,还是一个以jpg为扩展名的文件,在渗透的时候,我们需要访问
http://seay.sinaapp.com/seay.asp;.jpg这个URL来执行我们的shell,那么,我们来想一个办法,让所有为jpg扩展名的文件,都不能在地址栏
直接访问,就相当于文件防止下载(扯到主题了),那么我们可以用到一个很实用的工具:IISColander,这是一个防盗链小程序,用法很简单,看截图吧

www.2cto.com 很清晰明朗了,把我们要禁止在浏览器上直接访问的文件扩展名添加上去,开启就OK了,这样再访问http://seay.sinaapp.com/seay.asp;.jpg 的话,是不会解析出来的,利用防盗链来修补这个功能,还是很不错的,当然还有很多方法,比如说目录禁止脚本执行啊什么的。呵呵……只是说下这个思路而已,还有几个功能大家就自己去看吧,比如检测非法文件等等,这个防盗链的我传网盘去吧,这是下载地址http://pan.baidu.com/netdisk/singlepublic?fid=486051_1625278183
不放心的就自己去网上搜索(IISColander)下载吧。
相关内容: 最新内容:
IIS下Rewrite组件防盗链 图文教程[2014-12-23]
【防盗链】浅谈网站防盗链技术[2014-12-23]
IIS防盗链 ISAPI Rewrite图片防盗链规则写法[2014-12-23]
在WIN2003上用ISAPI Rewrite实现iis防盗链[2014-12-23]
详解iis httpd.ini中IIS图片防盗链的方法[2014-12-23]
PHP做好防盗链的基本思想 防盗链的设置方法[2014-12-22]
 IIS下Rewrite组件防盗链 图文教程[2014-12-23]
【防盗链】浅谈网站防盗链技术[2014-12-23]
IIS防盗链 ISAPI Rewrite图片防盗链规则写法[2014-12-23]
在WIN2003上用ISAPI Rewrite实现iis防盗链[2014-12-23]
搜索引擎对关键词作弊判断方法揭密[2014-12-23]
对于百度K首页的一些抢救建议与措施[2014-12-23]