文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络网络编程ASPASP网络安全
精品推荐
特别推荐
·ASP 五大高效提速技巧
·如何解密加密的ASP源代码
·PHP+MySQL 购物车程序实例
·ASP网站漏洞及入侵防范方法
·ASP网络安全
·1小时ASP入门
·初学ASP动态网页制作常用错误处理
·ASP实现网页打开任何类型文件都保存
热点TOP10
·Eclipse快速上手Hibernate之入门实例
·PHP+MySQL 购物车程序实例
·优化ASP程序技巧四则
·ASP有关记录排序的代码
·asp代码-注册登陆代码
·asp代码 用代码写文件记录不用数据库
·asp关于统计总数的代码
·ASP改变图片尺寸 ASP放大图片尺寸 ASP缩小图片尺寸

ASP网络安全
日期:2008年1月4日 作者:清风网络学院 查看:[大字体 中字体 小字体]
你看到发生了什么吗?<font size=7 color=red>被解释成功。出现了红色的放大的"你好"字
我们再来看看以下的命令:
http://someurl/_AuthChangeUrl?<img%20src=file:\\\c:\1.jpg>
上面的命令将显示c:根目录下的1.jpg图片,如果1.jpg存在的话。
http://someurl/_AuthChangeUrl?<a%20href=file:///c:/install.exe>
上面的命令将下载C:根目录下的install.exe文件。
按照这种方法还能打开对方服务器上一个已经知道的文本文件。


10、微软开发的两个动态库存在后门允许用户查看ASP文件源程序和下载整个网站

问题描述:

随IIS和Frontpage Extention server而来的动态库程序,存在后门,允许用户远程读取asp、asa和CGI程序的源代码。但这个动态库要求有密码,这个后门的密码是: "Netscape engineers are weenies!" 
程序路径为: /_vti_bin/_vti_aut/dvwssr.dll 
一般安装了 Frontpage98的 IIS服务器都有这个路径和文件。这个程序要求解码后才能发挥读取asp等源程序,有趣的是,这个密码正是嘲弄其竞争对手Netscape的。 
现提供一个有该漏洞的国外网站给安全技术人员参考: 
http://62.236.90.195 
关于读取源程序,请下载这个测试程序,用法为: 
[john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp 
测试程序: http://www.cnns.net/exploits/nt/dvwssr1.pl


11、漏洞名称:IIS4.0受HTTP的D.O.S攻击漏洞

问题描述:

受影响的版本:IIS 4.0以及更早的版本 
这是一个很简单的方法.发送很多的"Host:aaaaa...aa"到IIS:

GET / HTTP/1.1
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
...10,000 lines
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)

发送了象上面所写的两次请求后,对方的IIS在接受了这些请求后就会导致内存溢出.当然,它就不能对更多的请求作出反应。因为对方正缺乏虚拟内存,服务器也将停止运行。事后,对方不能通过重起web service来解决问题,而必须重启服务器。 


12 漏洞名称:IIS5.0超长URL拒绝服务漏洞

问题描述:

Microsoft IIS 5.0在处理以".ida"为扩展名的URL请求时,它会有两种结果。一个可能的结果是服务器回复"URL String too long"的信息;或类似"Cannot find the specified path" 的信息。另一种可能就是服务器端服务停止,并返回"Access Violation"信息(即成功的实现了对服务器端的拒绝服务攻击)
当远端攻击者发出类似如下的请求时:
http://someurl/...[25kb of .]...ida
服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息(暴露文件物理地址)

问题解决或者建议:

大多数情况下,站点很少使用扩展名为".ida"和".idq"的文件,可在ISAPI脚本映射中,将扩展名为".ida"和".idq"的应用程序映射删除。


13 请求不存在的扩展名为idq或ida 文件,会暴露服务器上得物理地址

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] 下一页 



上一篇:数据库设计范式

下一篇:教你如何编写游戏外挂
相关文章:
·从零开始 无线网络终极应用宝典
·WLAN无线网络的风险和攻防方式
·网络克隆教程
·家庭无线网络设置全精通
·五大流程成就网络运维管理的基础
·网络安全专家变身黑客 年入百万元以上
·教你一分钟学会使用免费网络电话Skype
相关软件:
·网络常见问题与故障1000例
·高级计算机网络
·Kaspersky(卡巴斯基) Internet Security 安全套装 V7.0.0.119
·网络营销专家V8.6
·墨者安全专家 V3.13 豪华版
·DOS下常用网络命令解释大全
·收藏:网管常用的网络命令集

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.viphot.com
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.viphot.com All Rights Reserved. 鄂ICP备05000083号Powered by:viphot