返回首页| 一流信息监控拦截系统 | 服务器医生 | LinkGate防盗链软件| ASLOG自动日志分析与流量管理系统 | IIS BACKUP(IIS备份与还原软件)
  | 星外虚拟主机管理平台 | 星外个人主页系统 | 星外收费网站保护软件 | 星外IIS强迫性广告软件 | 星外知识库
  软件产品系列>>>>>>


最新动态
   典型用户
   个人购买
  公司购买
   产品系列
   联系我们
   售后服务
用户注册

 关于微软IIS 6文件名检查不完善造成ASP木马用图片格式运行的解决方案
 


 


   微软的IIS 6存在严重解析文件名错误

测试办法:
在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是<%=now%>,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,黑客就可以上传图片来当作ASP木马来运行。

解决办法:所有使用星外虚拟主机管理平台的虚拟主机用户,可以在主机面板,设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限,就可以解决这个问题。

可以参考其他公司的同类公告:http://www.powereasy.net/Announce/3004.html(动易)
  

                  星外科技  2007年2月15日





   
 
返回首页| 关于我们 | 联系我们 | 我们的客户 | 授权代理商 | 用户权利和义务声明 | 招聘信息 | 项目合作| 星外科技推荐的虚拟主机提供商
广州星外信息科技有限公司 版权所有 网址:http://www.7i24.Com
软件产品专用销售电话:18928844824
联系电话 (020) 86001418 86001448 86001468 传真(020)86001488
7i24.Com™® 保留所有权利 ©1999-2005 中国领先的服务器软件提供商