0
点赞
收藏
分享

微信扫一扫

中间件解析漏洞

天天天蓝loveyou 2022-04-27 阅读 68
网络安全

一、IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;
该解析漏洞也只能解析asp文件,而不能解析aspx文件。

1、目录解析

目录解析(IIS6.0)
形式:www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp,.asa,.cer,.cdx目录下的文件都解析成asp文件。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、文件解析

文件解析
形式:www.xxx.com/xx.asp;.jpg
原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

修复方案
1.目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传xx.asp;.jpg类型的文件名。
2.做好权限设置,限制用户创建文件夹。
举报

相关推荐

0 条评论