假期中 IIS 问题的调查结果 [转译]

最新推荐文章于 2024-09-23 21:32:49 发布
最新推荐文章于 2024-09-23 21:32:49 发布
阅读量1k 收藏
点赞数
分类专栏: [安全消息] 文章标签: iis microsoft 服务器 security web url

本文转译自 Microsoft Security Response Center 博客文章Results of Investigation into Holiday IIS Claim

 

针对假期里报道的 IIS 中可能存在的漏洞问题,我们已经完成了全面的调查研究,最终发现,IIS 中没有漏洞

我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。

 

事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。

 

因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表:

IIS 部门的同事正在评估一项改善措施,以便让 IIS 6.0 的操作行为与其它版本一致。同时,他们也已经把更多相关信息放到了他们的 weblog 上。

 

希望上述内容可以打消大家的疑虑。

祝大家假期愉快,新年快乐!

 

Christopher

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

MSSecurity
关注
专栏目录
怎么把英文文献转译文?
weixin_42009785的博客
10-20 3137
由于一定的原因,我最近一直在家,闲来无事,除了每日关注疫情的最新进展,就是看看文献,写写paper,不知道你那边现在是什么情况呢?相信很多宅在家里的小伙伴也陷入了无法开展试验的窘迫状态,只能在电脑前,每天读几篇文献,才能不让自己感觉无所事事。 作为一个研究僧,阅读大量的英文专业文献是整个学习生涯必不可少的阶段。尤其是对于初入圈内的小伙伴,这算得上一个不小的挑战,特别是在刚开始接触英文文献的时候。大量的专业词汇和专业术语经常搞得我们焦头烂额。因此为了满足我们的科研阅读需求,我们一般会选择把英文文献翻译成
oracle 的多个逗号转译问题
zhangchencf的博客
04-22 3953
在存储过程经常要打印例如‘a’,a等,需要加逗号有时候是‘’‘||a||’ ”,有时候是’||a||‘,经常搞不清楚。今天终于研究清楚了。新建一个sql界面 (1) beginDbms_Output.put_line(1 );end; 这时候打印出来的是 1 number型 (2) beginDbms_Output.put_line(‘1’);end; 这时候打印出来还是1,但是是va
android 地址转译,Android URLEncoder 转译
weixin_34502341的博客
05-26 370
释放双眼,带上耳机,听听看~!今天做了 关键词搜索,需要将关键词汉字 作为参数 通过接口一起传给后台,当时没有对汉字进行特殊字符处理 让我痛苦了好一会,后来打印了一下连接 发现 有汉字 哈哈这样的话 必须对汉字进行一下转译,这样后台才能是别的你的请求。注意 只需要对参数值进行转译 不要整个串进行转译否则 参数也会被转译 自找麻烦没什么技术 直接上代码 给出 转译转译 的方法try {//将汉字...
什么是 JavaScript 转译
weixin_59525879的博客
12-30 405
使用Babel,开发者可以在开发过程使用最新的JavaScript语言特性,而无需担心浏览器兼容性问题。在JavaScript转译器是一种将一种编程语言转换为另一种编程语言的工具。在JavaScript的上下文转译器通常用于将ECMAScript 6 (ES6) 或更新的代码转换为能够在旧版JavaScript引擎运行的代码。由于不同版本的JavaScript支持的语法和功能不同,转译器可以确保开发者能够使用最新的JavaScript语言特性,而无需担心兼容性问题
js彻底解决文乱码问题
热门推荐
Y_东东的博客
09-04 3万+
如果一个页面规定了整个页面的编码格式为utf-8,但是由于浏览器默认编码为iso-8859-1,在数据提交到服务器后好说,不管是java还是php都可以轻松的进行不同编码格式之间的相互转换,举一个极端情况的例子,我要把地址栏的某一段文数据获取到,并且放到input输入框,如果页面编码格式是utf-8,那么使用下面这段代码必然是乱码 $(‘input:first’).val(windo...
velocity html 转义字符,velocityjson转译的有关问题
weixin_35732157的博客
06-19 555
当前位置:我的异常网» JavaScript»velocityjson转译的有关问题velocityjson转译的有关问题www.myexceptions.net网友分享于:2013-08-26浏览:353次velocityjson转译问题今天转义json的特殊字符,一路上磕磕绊绊,几次柳暗花明又一村的感觉,整个过程还是蛮有意思的。问题:众所周知,Json是个很脆弱的玩意儿,在...
java json unicode转文,解决JSON.stringify()自动将转译成unicode的问题
weixin_29391747的博客
03-19 1992
解决JSON.stringify()自动将转译成unicode的问题最近在工作,发现在IE8下JSON.stringify()自动将转译为unicode编码,原本选择的文字符,传到后台变为了unicode编码,即\u****的形式。查找资料后发现,与标准的JSON.stringify()不同,IE8内置的JSON.stringify()会自动将编码从utf-8转为unicode编码,导...
转译带有文的url
pang_2899的博客
09-06 429
import urllib.request import string import urllib.parse def get_data(): url = 'https://www.baidu.com' params = { "wd":"美女", "key": "zhang", "value":"san" } str_params = urllib.parse.urlencode(params) final_url.
C# 转译字符'/b'
陈言必行 -- Unity游戏开发领域优质博主
02-29 1731
C# 转译字符'/b' 所有的ASCII码都可以用“\”加数字(一般是8进制数字)来表示。而C定义了一些字母前加"\"来表示常见的那些不能显示的ASCII字符,如\0,\t,\n等,就称为转义字符,因为后面的字符,都不是它本来的ASCII字符意思了。
解决JSON.stringify()自动将转译成unicode的问题
10-18
`JSON.stringify()`方法在处理包含文字符的对象时,可能在某些环境下将文字符转译成Unicode编码,从而导致数据在传输和展示时出现问题。特别是当遇到老旧的浏览器如Internet Explorer 8(IE8)时,该问题更为...
ECMAScript-Gulp:在gulpfile测试ES6语法并进行转译
04-29
4. **Gulp任务**:一个典型的Gulp任务会包括读取源文件、使用Babel转译、可能的代码格式化,以及将结果写入目标目录。例如,你可以使用`src()`来指定源文件,`pipe()`连接不同的处理步骤,最后用`dest()`定义输出...
HTML转译
03-27
在HTML,如果直接使用这些字符,可能会导致解析错误或意外的结果,因此需要通过转译来确保它们被正确显示。 HTML转译主要分为两种类型:实体引用(Entity References)和数字字符引用(Numeric Character ...
【C#生态园】一文详解:NHibernate、Entity Framework Core、Dapper 等 .NET ORM 框架优劣对比
最新发布
记录我的学习历程
09-23 771
本文将介绍 NHibernate、Entity Framework Core、Dapper、FluentNHibernate、LLBLGen Pro 和 PetaPoco 六种常用的 .NET ORM 框架。每种框架都包括简介、安装与配置以及 API 概览等部分内容,旨在帮助读者快速了解各框架的特性、使用场景以及基本操作方式,从而为项目选择合适的 ORM 解决方案提供参考。
SQL关键字的优先级执行顺序:深入理解SQL查询的构造
qq_51321722的博客
09-20 454
在数据库管理和开发,SQL(Structured Query Language)是一种至关重要的语言,用于与数据库进行交互,执行数据查询、更新、删除和管理等操作。然而,编写高效且准确的SQL查询需要对SQL的解析和执行顺序有深入的理解。本文将探讨SQL查询关键字的优先级执行顺序,帮助读者更好地理解和优化SQL查询。
统信服务器操作系统【Cron定时任务服务】
RZer的博客
09-23 612
Cron定时任务服务服务介绍、服务管理、服务配置
使用docker创建zabbix服务器
a15864923744的博客
09-20 604
这几个容器创建后是UP状态就可以使用浏览器尝试访问 http://宿主机IP:8080,期间遇到问题是MySQL容器使用mysql:9.0镜像总是出错,所以用了mysql:8.0。zabbix默认账号密码是:Admin/zabbix。#创建zabbix后端服务容器。#创建zabbix前端服务容器。#创建MySQL容器。
统信服务器操作系统【开机自启动】配置方法
RZer的博客
09-23 405
开机自启动的四种配置方法,包括systemctl命令、rc.local文件、crontab任务,通过desktop配置开机自动,前三种方法适合后台程序或者脚本启动,最后一种方法适合图形化程序启动。
linux-安全管理-用户认证
Flying_Fish_roe的博客
09-17 1457
用户认证是 Linux 安全管理的核心,通过用户名/密码、SSH 密钥、PAM 和双因素认证等机制,管理员可以确保系统的安全访问。同时,合理的用户和权限管理,以及日志审计等措施,能够有效提升系统的安全性。确保密码策略的强度和安全性。使用 SSH 密钥认证代替密码认证。启用双因素认证以增强用户身份验证。定期审计系统日志,及时发现潜在的安全风险。
Perl语言如何转译
05-26
在Perl语言,可以使用转义字符来转译特殊字符。以下是一些常见的转义字符: - \n:表示换行符 - \t:表示制表符 - \r:表示回车符 - \b:表示退格符 - \f:表示换页符 - \a:表示警报声 - \\:表示反斜杠字符本身 - \":表示双引号字符本身 - \':表示单引号字符本身 例如,如果要将一个字符串的双引号转义,可以使用如下代码: ```perl my $str = "This string contains a \"double quote\" character."; $str =~ s/"/\\"/g; print $str; ``` 输出结果为: ``` This string contains a \"double quote\" character. ``` 在正则表达式,也可以使用反斜杠来转义特殊字符。例如,如果要匹配一个句子的句号,可以使用如下正则表达式: ```perl my $sentence = "This is a sentence."; if ($sentence =~ /\./) { print "The sentence contains a period.\n"; } ``` 输出结果为: ``` The sentence contains a period. ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值