IIS有哪些安全漏洞?iis的安全性问题
通过asp入侵web server,窃取文件毁坏系统,这决非耸人听闻... iis的安全性问题
1.iis3/pws的漏洞
我实验过,win98 pws上运行ASP程序,只须在浏览器地址栏内多加一个小数点ASP程序就会被下载下来。IIS3听说也有同样的问题,不过我没有试出来。
2.iis4的漏洞
iis4一个广为人知的漏洞是::$DATA,就是ASP的url后多加这几个字符后,代码也可以被看到,使用ie的view
source就能看到asp代码。win98 pws4没有这个问题。 解决的办法有几种,一是将目录设置为不可读(ASP仍能执行),这样html文件就不能放在这个目录下,否则html不能浏览。二是安装微软提供的补丁程序。三是在服务器上依次安装sp3 ie4.01sp1 option
pack sp4。
3.支持ASP的免费主页面临的问题
你的ASP代码可能被人得到。
ASP1.0的例子里有一个文件用来查看ASP原代码,/ASPSamp/Samples/code.asp
如果有人把这个程序弄上去了,他就可以查看别人的程序了。
例如: code.asp?source=/someone/aaa.asp 你使用的ACCESS数据库可能被人下载
既然ASP程序可以被人得到,别人就能轻而易举的知道你的数据库放在何处,并下载它,如果数据库里含有的密码不加密,那...就很危险了。 webmaster应该采取一定的措施,严禁code.asp之类的程序(似乎很难办到,但可以定期检索特征代码),限制mdb的下载(不知行不行)
4.来自filesystemobject的威胁
IIS4的ASP的文件操作可以通过filesystemobject实现,包括文本文件的读写目录操作、文件的拷贝改名删除等,但是这个东东也很危险。利用filesystemobjet可以篡改下载fat分区上的任何文件,即使是ntfs,如果权限没有设定好的话,同样也能破坏,遗憾的是很多webmaster只知道让web服务器运行起来,很少对ntfs进行权限设置。
比如,一台提供虚拟主机服务的web服务器,如果权限没有设定好,用户可以轻而易举地篡改删除机器上地任何文件,甚至让nt崩溃。
里面的相关程序我就不多说了....
explorer,该程序可以浏览不设防web服务器的所有文件和目录。 webmater应该将web目录建在ntfs分区上,非web目录不要使用everyone full control,而应该是administrator才可以full control。
了解黑客攻击网络的手段 黑客常采取的攻击手法有哪些?
为了帮助企业了解和掌握如何加强Linux系统在安全方面的管理,除了把预防工作提前做好外,还需要了解黑客常用手法。下面,分别从黑客对Linux的入侵攻击和Linux系统的安全防护两个方面来介绍如何加强Linux系统在安
详情2018-02-17 17:16:08责编:llp 来源:驱动管家adobe flash漏洞的后果 如何在metasploit编写该漏洞exp?
上个月爆了一个Adobe Flash的漏洞,影响Windows, Macintosh和Linux平台下的Adobe Flash Player 11 2 202 233和之前版本,Android 4 x下Adobe Flash Player 11 1 115 7及之前版本,Android 3 x和2 x下的
详情2018-01-30 20:33:19责编:llp 来源:驱动管家黑客的漏洞入侵技术和补救措施
简 介在网入侵中,我总结一下,以下几种常见漏洞入方法和补久措施。By:啤酒盖 相传,在神奇的网络世界中,有一群习惯了昼伏夜出的人,他们崇尚自由,反对收费,不变的信念是共享,在那群人眼中,众生皆平等,也没有什么坚不可破的城墙,他们就是——黑客!
详情2018-03-04 18:23:12责编:llp 来源:驱动管家cc攻击是什么?怎么防cc攻击网站?
CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。CC攻击
详情2018-01-13 14:51:33责编:llp 来源:驱动管家《网络安全法》颁布实施,怎么保证企业不触犯网络安全法?
一不留神违法了~冤吗?真相是:重庆这家公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《中华人民共和国网络安全法》第二十一条(三)项:采取监测、记
详情2018-01-19 10:59:49责编:llp 来源:驱动管家三星手机锁屏会有泄露信息的风险?怎么回事?
我用的是三星i9220 android系统是2 3 5这个信息泄漏的前提条件是手机开放了屏幕解锁设置功能,且绑定了google帐户或者设置密码保护问题。一般默认情况下手机锁屏后需要输入解锁密码或者图案才能进入手机下面是我
详情2018-01-26 09:32:14责编:llp 来源:驱动管家IDS特征如何识别?IDS特征有什么用?
IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同一款强大的杀毒软件必须拥有强大且完善的病毒库一样。但是,IDS一般所带的特征数据库都比较滞后于新的攻击手段,入侵行为稍微改变往往便会
详情2018-03-05 16:51:35责编:llp 来源:驱动管家shell.users加用户:一种新的加用户的方法
今天研究了一下用户控制面板文件nusrmgr cpl,发现调用的是Shell Users来加用户,它还同时调用了wscript shell、Shell Application、Shell LocalMachine这三个组件。不过加用户的话,这一个Shell Users就足够了。
详情2018-02-15 09:34:20责编:llp 来源:驱动管家这十三招可以防止windows操作系统中毒
我的电脑很少中毒,至少在我知道的情况下我的电脑没用中过毒。消灭病毒的难度是很大的,但做好预防工作却是非常容易的。下面是我的一些做法,个人认为做好下面的措施,电脑中毒机会的就会是微乎其微,这些措施只
详情2018-02-11 16:48:31责编:llp 来源:驱动管家黑客入门 黑客攻击网站的常用策略
这篇文章主要介绍了黑客攻击网站的常用策略,你必须掌握!,需要的朋友可以参考下【1】虚假无线接入(WAP)策略虚假WAP比其他任何技术都更容易完成攻击。任何人,简单用一种软件或无线网卡,就能将自己的电脑渲染
详情2018-01-20 14:46:56责编:llp 来源:驱动管家
- 驱动版本过低 怎么卸载驱动并重新安装
- Win10预览版10525去水印工具下载 不修改系统文件 附工具用法
- ABBYY FineReader简体中文版和多语言专业版有什么区别?
- 玩绝地求生需要什么样的显卡?绝地求生显卡推荐
- m4a格式文件是什么?怎么在电脑上打开m4a文件
- 小米MIX 2S将在摄像头的AI性能等方面进行重要升级
- 苹果正在调查iPhone X收到电话时屏幕不会唤醒bug
- 中国国务院发布:宣称要成为“世界主要的AI创新中心”
- 如何安装ghost?安装ghost的方法和步骤
- 无法找到脚本文件怎么办 Win8无法找到脚本文件的解决方法
- 廉价直板机:诺基亚220预装了社交网络应用
- 诺基亚1320更新软件的方法 诺基亚1320在哪里下载软件?
- Flash Player的版本号怎么查看?Mac电脑查看Flash Player版本号的方法
- chrome谷歌浏览器版本号后面加了个M是什么意思
- 扫描实战 扫描C类IP里bsdtelnet漏洞机器
- MT.EXE34项功能 MT.EXE用法大全
- win10安装小米wifi客户端之后无法使用的解决方法
- 电脑主板上出现过的插槽都有哪些?电脑主板插槽介绍
- 影响笔记本性能的因素有哪些?关于电脑性能的一些介绍
- 索尼S13笔记本电脑3988元秒杀价