报告一个IIS6,ASP的一个超级BUG[ZT]

最新推荐文章于 2024-08-23 10:04:22 发布
最新推荐文章于 2024-08-23 10:04:22 发布
阅读量429 收藏
点赞数
分类专栏: Asp 文章标签: asp iis 服务器 微软

这是一个很严重的BUG, 目前微软还没有提供HOTFIX.

 

当你的服务器允许运行ASP , 而你的程序(ASP/ASP.NET/PHP/JSP/...)允许上传文件时

 

黑客可以上传一个  xxxx.asp;.jpg 文件.

 

当浏览该文件时, 然后该文件会直接以ASP的方式被执行!

 

解决方法是任何上传的功能, 都要禁止 '.asp;.' , 或者干脆禁止 ';' 符号.

关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS6 安全性存在超级BUG,快来看
09-30
jpg”),IIS6只识别第一个扩展名,即“.asp”,而忽略其他内容。因此,尽管文件的实际类型是.jpg(一种图像文件格式),IIS6服务器却会将其作为ASP代码来处理和执行。这在本质上允许恶意用户上传看似无害的文件,但...
ASP运行在IIS6 500错误解决办法
10-30
在本文中,我们探讨的问题是ASP应用程序在IIS6(Internet Information Services 6.0)上遇到500错误的解决方案。 500错误通常表示服务器遇到了一个内部错误,无法完成请求。在ASP应用中,这可能由于多种原因导致,...
ASPIIS的安全漏洞
没吃过猪肉,光看见猪跑啦....................
02-18 1329
 ASPIIS安全漏洞   当ASP以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候,其本身的一些缺陷、漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASPIIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕。  本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视。在微软的流行
IIS6配置网站的一个低级错误
听雨轩
01-29 605
今天,有一个小ASP应用需要配置到IIS6上运行,所有配置都按部就班地配置: 1、允许匿名访问,匿名访问用户是新建的,密码不会有错; 2、为了避免和已有应用的80端口冲突,该应用配置在82端口; 3、默认首页也增加了index.asp(该应用的默认首页是index.asp); 以为一切OK了,在地址栏里输入 http://localhost:82 却出现输入用户名和密码的提示框,于是输入前面新建的...
使用iis7.5搭建ASP网站常见报错问题处理
Blood_Seeker的博客
06-09 2249
iis7.5 解析 ASP 出错主要有三类: 1. 权限问题 2. 程序问题 3. 应用池问题   1. 权限问题: a. 如果访问网站后有典型的无权查看报错提醒, 那么重新配置相关用户的权限即可, 最简单的办法是直接添加一 Everyone 用户, 给 Everyone 加读取权限即可, 此处操作简单, 不多赘述, 需要注意的是, 500报错也可能是权限问题, 请留意排错, 如图所见,...
IIS连接ORACLE的一个问题
csdn_201601的博客
04-13 628
ZT[@more@]今天在连接ORACLE9I的时候遇到一个问题:Microsoft OLE DB Provider for ODBC Drivers (0×80004005) Specified driver could no...
asp.net关于页面不回发,不生成__doPostBack方法问题的完美解决方案--ZT
weixin_30699955的博客
07-17 260
原文:http://www.sufeinet.com/thread-4564-1-1.html 这个问题我相信有不少人见过,就是使用系统的分页功能时,或者是使用系统控件,都会有一个回发的功能,这个功能是asp.net自动管理的,就是为了和我们后台的Cs代码连接起来,但是有时候这个方法并不会生成,正常情况下在页面的Form下面都会生成如下代码 [C#]纯文本查看复制代码 ? ...
130道ASP.NET面试题
热门推荐
u014712365的博客
12-19 6万+
1. 简述 private、 protected、 public、 internal 修饰符的访问权限。ITPUB个人空间| ~Ue!Mxa}答 . private : 私有成员, 在类的内部才可以访问。"]7_r6jf0protected : 保护成员,该类内部和继承类中可以访问。ITPUB个人空间X fU0Mzo0QZLpublic : 公共成员,完全公开,没有访问限制。M5I"h2I8`g...
Text BLOG 的安装(zt)
我行我素我思我在
07-29 1096
关键词: .Text BLOG ASP.NET BLOGX摘要:.text 是一个使用asp.NET的BLOG建站工具(还有一个BlogX不错),博客堂还有本BLOG都是基于此建造。在.net平台下,是首选的BLOG,本文简单给大家讲一下安装和调试首先去 http://blog.joycode.com/joy/posts/5532.aspx 下载汉化版本(带源代码的),别忙着下载,仔细看看post
ASP.NET Process Model之一 IISASP.NET ISAPI
10-30
ISAPI是ASP.NET在IIS 5.x中的接口,它是一个动态链接库(DLL),用于接收IIS转发的HTTP请求并将其传递给ASP.NET运行时。aspnet_isapi.dll是这个ISAPI扩展的具体实现,它负责与IIS的通信以及与ASP.NET运行时的交互。 ...
分享一个网上的asp签到系统
01-06
2. **asoft_v 3.4 build 20101011 _绿色安装包.rar**:这是一个RAR压缩文件,通常包含系统的所有必要文件,包括ASP源代码、图片、CSS样式表、JavaScript脚本和其他支持文件。"绿色安装包"意味着它不需要复杂的安装...
利用压缩网页来提升网站浏览速度(zt)
08-19 77
级别: 中级 刘 冬 (mailto:javayou@gmail.com?subject=利用压缩网页来提升网站浏览速度), 开发工程师,   2007 年 2 月 28 日 本文主要介绍如何通过对页面进行压缩从而节省网站的带宽以及提升用户的访问速度。 网站的访问速度是由多个因素所共同决定的,这些因素例如应用程序的响应速度、网络带宽、服务器性能、与客户端之间的网络传输速度等等。其...
《博客园精华集》ASP.NET分册第2论筛选结果文章列表
weixin_30596165的博客
07-18 594
由老赵、大V、李永京和我一起筛选完成,一共440笔: 为什么foreach(HttpCookie cookie in Request.Cookies)会出错 作者:dudu 解读System.Web.UI.Page中关键方法ProcessRequestMain() 作者:dudu 在Asp.net页面中实现数据饼图 作者:TerryLee 在Web页面中控制其元素的选择状态 作者:bi...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 1033
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
黑神话悟空无法登录服务器怎么办
最新发布
IDC_USA的博客
08-23 455
黑神话悟空游戏在登录的时候会遇到无法登录服务器的问题,玩家可以采用一些有效的方法进行解决,其中最主要的措施就是优化网络环境和减少网络干扰。Rak小编为您整理黑神话悟空无法登录服务器如何解决的步骤及注意事项。
仿Muduo库实现高并发服务器——Acceptor模块
2201_75324712的博客
08-22 421
Acceptor模块是为了创建套接字,并且接收新到来的客户端套接字,将对应套接字的Channel对象添加到Poller对象中,进行事件监控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值