动易2006最新漏洞公告(2007-2-15)
2007-02-15 13:38
309 查看
漏洞描述:因为Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。
动易2006中的部分功能因为设计时没有考虑到这种攻击方式,致使黑客可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。
郑重声明:在了解了此漏洞后,请勿攻击他人!否则你将可能会受到法律的惩罚!
临时解决方法:删除Space文件夹(临时),删除User/User_Space.asp文件。
补丁文件:暂无
友情提示:请站长检查除动易系统外的全部系统,凡有用户可自主命名文件夹权限的功能,在微软公司的补丁出现之前,建议全部关闭,以免造成更大的损失。
动易2006中的部分功能因为设计时没有考虑到这种攻击方式,致使黑客可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。
郑重声明:在了解了此漏洞后,请勿攻击他人!否则你将可能会受到法律的惩罚!
临时解决方法:删除Space文件夹(临时),删除User/User_Space.asp文件。
补丁文件:暂无
友情提示:请站长检查除动易系统外的全部系统,凡有用户可自主命名文件夹权限的功能,在微软公司的补丁出现之前,建议全部关闭,以免造成更大的损失。
相关文章推荐
- 动易2006_SP6最新漏洞得到管理员密码(转)
- 微软Technet安全技术中心,最新安全公告漏洞更新补丁发布。
- BBSXP5.15最新漏洞精简版
- 公告:此博客不再更新。如看最新博文请到 http://androidtoast.iteye.com
- 软件升级公告:最新版本V1.2.05.115 更新日期2011-9-18 有需要升级的朋友可以到服务器上下载
- 梦想还需有,因它必实现——发现最新版iOS漏洞,OverSky团队专访
- BBSXP2007的一个漏洞公告
- 红盟域名第三方域名管理漏洞公告————【Badboy】
- 动易2006_SP6跨站
- 【漏洞预警】Cobalt Strike team服务被爆RCE漏洞,尽快升级最新版
- 微软信息安全公告 ActiveX漏洞最严重
- HELLXMAN公告:ASP.NET曝漏洞 Win7等均中招
- 最新Bash漏洞修补初级方案
- 最新的BDS 2006和Turbo版本的Hotfix
- IOS开发最新的公告关于保存缓存到Documents 发布被拒的解决办法
- openssl门锁安全事件 rpm最新版本(修正漏洞)更新全攻略“弥补你的心”
- Tech-Ed的最新公告: Travelocity在 Windows Azure 上启用分析系统
- PKAV 发现 Struts2 最新远程命令执行漏洞(S2-037)
- 2006第三届全国动易设计应用大赛作品欣赏
- QQ2006最新免费下载