|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了,办理15绕过考证间接进进ASP页面。
毛病形貌:
假如用户晓得了一个ASP页面的路径和文件名,而这个文件又是要经由考证才干出来的,可是用户间接输出这个ASP页面的文件
名,就有大概经由过程绕过考证.好比:我在一些网站上如许试过:起首封闭一切的扫瞄器,窗口,输出:
http://someurl/system_search.asp?page=1
就样就看到了只能体系员才干看到的页面。固然有些工资了避免这类情形也会在system_search.asp的开首加个判别,好比:
判别session("system_name"),假如不为空时就可以进进,如许下面的url哀求就不克不及间接进进办理员页面了。可是这类办法也有一
个毛病,假如打击者先用一个正当的帐号,大概在本机上天生一个session,如session("system_name")="admi",那由于
session("system_name")不为空,如许也能间接进进绕过暗码,间接进进办理员页面。
办理办法:
在必要考证的ASP页面开首处举行响应的处置。好比:可跟踪上一个页面的文件名,只要从上一页面转出去的会话才干读取这个
页面。
16、IIS4.0/5.0特别数据格局的URL哀求远程DOS打击
毛病形貌:
当在安装有有IIS4.0大概IIS5.0的web服务上,哀求一个具有特别数据格局的URL,会拖慢受打击web服务器的呼应速率,也许会
使其临时中断呼应。
受影响的版本:
MicrosoftInternetInformationServer4.0
MicrosoftInternetInformationServer5.0
毛病测试程序以下:
http://202.96.168.51/download/exploits/iisdos.exe
源代码以下:
http://202.96.168.51/download/exploits/iisdos.zip
测试程序:
只需打进:iisdos<***.***.**.**>就可以打击对方web服务器
成绩办理:
InternetInformationServer4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20906
InternetInformationServer5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20904
更多的信息:
http://www.microsoft.com/technet/security/bulletin/ms00-030.asp
Microsoft平安通告MS00-021:
http://www.microsoft.com/technet/security/bulletin/fq00-030.asp
相干毗连
http://www.ussrback.com
</p>Windows本身的所有问题都会一成不变的也累加到了它的身上。安全性、稳定性、跨平台性都会因为与NT的捆绑而显现出来; |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 22:54:12
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主