ASP.Net 发现重大安全漏洞 黑客可以绕过安全设置

最新推荐文章于 2024-08-02 11:14:14 发布
最新推荐文章于 2024-08-02 11:14:14 发布
阅读量651 收藏
点赞数
分类专栏: 技术文章 文章标签: asp.net windows 微软 web服务 server 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guying999/article/details/335227
版权

10月9日消息,微软公司日前表示,他们目前正在对此前所报道的ASP.Net存在的安全漏洞进行调查。据悉,该安全漏洞允许黑客绕过网络服务器的安全设置,从而查看服务器上的敏感信息。

  日前,微软已经在其网站上提供了如何使企业避免黑客攻击的方法,但尚未提供补丁程序。据悉,该安全漏洞存在于ASP.Net的“canonicalization routine(规范程序)”组件中。黑客可以通过创建一个URL来利用该漏洞,从而使其绕过Windows系统验证。

  众所周知,ASP.Net是微软ASP技术的最新版本,它允许开发人员通过嵌入各种小程序来创建Web应用。这些小程序可以用VB、Perl和C#等语言编写。而“canonicalization routine(规范程序)组件则是用来处理URL请求的,并判断处理这些请求的最佳方式。

  据微软公司表示,运行在Windows 2000、Windows 2000 Server、XP Professional和Windows Server 2003系统上的ASP.Net版本均存在该安全漏洞。

  同时,微软还发布了一个“ASP.Net ValidatePath”模块,可以暂时应用到IIS 5.0、5.1或6.0 Web服务器中。但该漏洞的安全补丁程序尚在开发之中。

  同时,微软还建议网站拥有者到微软的支持站点查看有关该漏洞的详细信息。站点链接如下:support.microsoft.com/?kbid=887459。

guying999
关注
专栏目录
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 015-网络安全应急技术与实践(Web层-文件上传漏洞)
时光隧道
02-11 7万+
文件上传漏洞是指网站对于用户上传文件的验证过程不严格,导致攻击者可以上传恶意文件到服务器上执行任意代码或者获取敏感信息的安全漏洞安全问题说明1. 代码执行攻击者可以上传包含恶意代码的可执行文件,通过执行这些代码来攻击服务器,例如获取敏感信息、操控服务器等。上传的可执行文件中包含恶意代码,攻击者可以通过执行该代码来实现攻击目的。2. 文件覆盖攻击者可以通过上传同名文件覆盖服务器上的原始文件,导致原始文件的内容被篡改或者删除。
文件上传漏洞攻击思路及绕过技巧
weixin_46236101的博客
09-24 1749
1.客户端JS检验(后缀名) 2.服务器端检测: 文件类型content-type 文件内容头(cookie、HTTP认证、会话等) 目录路径 文件扩展名检测 黑名单or白名单 自定义正则校验 3.WAF IIS服务器 .asp;.jpg 这种文件名在“;”后面的内容会被直接忽略,文件会被解析为.asp 两种漏洞 .asp、.asa会被解析为asp *.asp;1.jpg会被解析为asp WebDav通信协议 开启WebDav扩展,如果支持Delete、Put、Move、Copy,则可能存在漏洞 如何利用W
Web安全:文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 2696
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
常见安全漏洞及其解决方案
热门推荐
网络安全
05-17 2万+
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
Web安全基础学习:任意文件下载漏洞
最新发布
2401_84578953的博客
08-02 853
一些网站由于业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,攻击者就能够通过回溯符。
[网络安全] Windows Server 设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件(.asp .aspx .jsp .php)
guigenyi的专栏
04-14 1261
本文主要Windows Server(2008R2)通过设置文件屏蔽的方式,防止黑客利用上传组件的漏洞上传特定类型的非法文件。网络安全是一个很复杂的领域,工作中还是需要重视的。如对您有所帮助,不胜荣幸~
web安全:验证码绕过、密码找回漏洞
坚持硬核
02-18 1435
0x00 验证码的作用 可以防止恶意破解密码,刷票,恶意灌水,有效防止某一黑客对某一个特定注册用户用特定程序暴力破解方法进行不断的登录尝试。 0x01 验证码绕过的常见姿势 1.前端验证验证码,并没有后端验证。直接抓包然后进行跑数据包就可以了,反正没有验证码的阻碍 2.验证码设置了但是没有效验,乱输验证码也能够成功的登录 3.验证码可以重复使用,比如现在的验证码1111,然后虽然你登录失...
javaWeb安全漏洞及处理方式
lizhengyu891231的博客
07-16 1808
转载自:https://blog.csdn.net/lujiancs/article/details/78175007 1、SQL注入攻击 SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意...
asp.net怎么写上传图片到mysql的页面_【web安全】文件上传漏洞
weixin_39665762的博客
11-21 118
文件上传漏洞●0x00 什么是文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。利用上传漏洞可以直接得到WEBSHELL,危害等级超级高。上传文件操作本身是没有问题的,问题在于文件上传到服务器后,服务器怎么处理和解释文件。文件上传检测一般有几种:javascript检测、扩展名检测、HTTP头检测、文件头检测等,除了绕过这些检测,还...
ASP.NET源码——ASP.NET Web BackDoor.zip
10-10
在网络安全领域,后门通常指的是在系统或应用程序中秘密植入的代码,允许未经授权的访问者绕过正常的安全控制。ASP.NET Web BackDoor可能是一个恶意开发者或者黑客创建的组件,其目的是为了远程控制或监视使用ASP...
ASP.NET汽车租赁管理系统:安全防护与漏洞防范措施
ASP.NET汽车租赁管理系统是一款基于ASP.NET框架开发的车辆租赁管理软件,旨在帮助汽车租赁公司高效管理车辆信息、订单预订、租金结算等业务。 ## 1.2 功能特点 - 用户身份认证:提供注册、登录、权限管理等功能,...
.NET关于 跳过SSL中遇到的问题
人生在手
11-10 1011
.NET关于 跳过SSL中遇到的问题
日志文件分析工具—AWStats在IIS中的配置步骤
04-05 2694
日志文件分析工具—AWStats在IIS中的配置步骤 AWStats是sourceforge.net上很有名的Web/Mail/FTP服务器日志文件分析工具。 安装配置步骤(适用于分析IIS日志文件) 1、下载AWStats, 下载地址:http://sourceforge.net/projects/awstats/ 2、由于AWStats是Pertl写的,所以要下载Perl 解释器, 下载地址:
c#中求幂运算
04-27 2524
^ is bit operator, use System.Math.Pow method to 求幂
Request获取当前访问页面的路径的一些格式
04-18 2384
假设test为一虚拟目录则:Request.Path,Request.RawUrl获取的是形如/test/test.aspx的路径Request.Url.AbsoluteUri取得http://localhost/test/test.aspxRequest.ApplicationPath取得/testHttpContext.Current.Request.Url.Host 获得localhost获
ASP.NET中如何在客户端获取用户控件中的服务器控件ID
04-04 2372
假如用户控件中有个服务器控件的ID是btnQuery,那么通过javascirpt获取控件ID时如果这么写document.getElementById("btnQuery")那么运行后总会提示脚本错误,提示找不到btnQuery对象,后来通过查看网页的源文件发现该控件的ID变成了Top1:btnQuery,其中Top1是用户控件,所以改为如下写法就可以了document.getElementBy
如何让某一段代码(C#)每隔10天执行一次?
04-03 2281
这个可以用监视ASP.NET的进程来实现可以在Machine.Config文件的部分中这样修改...上面这句话表示每隔24小时自动重新启动该ASP.NET进程一次!为了便于理解,我给你写了一段代码,你看看:首先找到Machine.Config文件,然后找到最开始timeout的值是Infinite,现在我们把它改成timeout="00:01:00" 表示程序运行一分钟后重新,自动重新启动。当然一
asp.net执行Access数据库模糊查询的问题
04-02 1822
本来在Access数据库中进行模糊查询,*相当于SQL Server中的%,但是如果真的这么写比如:sql = select * from table where filed like *value*然后OleDbDataAdapter da = new OleDbDataAdapter(sql,conn);da.Fill(ds,"tablename");这样是查询不到结果的,把*号换成%即可
Win2003 ASP.NET 虚拟主机安全配置详解与步骤
本篇教程详细介绍了在Windows 2003服务器上为运行ASP.NET的虚拟主机进行安全设置,主要针对的是多站点的管理。首先,我们关注于基础的权限管理,将站点目录如D盘的www文件夹下的fesend用户站点隔离,并确保只有必要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值