- 1PS提示:因為圖層已鎖定,無法編輯圖層的處理方法
- 2Adobe Illustrator CS5 序列號大全
- 3picacg蘋果版怎么找不到|picacg ios版是不是下架了介紹
- 4ACDsee注冊碼免費分享(含ACDsee18、ACDsee10等版本)
- 5眼萌app怎么色弱測試 眼萌app色弱測試圖文說明教程
- 6蘋果iphone自動時間不準確的多種校正方法
- 7百度安全衛士好用么_百度安全衛士技巧說明
- 8PDF瀏覽器能看3D文件嗎?PDF瀏覽器看3D文件圖文詳細教程
- 9Potato(馬鈴薯聊天)怎么注冊不了|Potato不能注冊處理方法介紹
- 10Potato(土豆聊天)怎么換頭像|Potato app更改頭像方法介紹
- 11ipad版office如何激活? office365激活的圖文說明教程
- 12最新的Adobe Illustrator CS4序列號大全
[摘要]15繞過驗證直接進入ASP頁面。 漏洞描述: 如果用戶知道了一個ASP頁面的路徑和文件名,而這個文件又是要經過驗證才能進去的,但是用戶直接輸入這個ASP頁面的文件 名,就有可能通過繞過驗證.比如:我在一些網站上這樣試過:首先關閉所有的瀏覽器,窗口,輸入: http://someurl/system...
15繞過驗證直接進入ASP頁面。
漏洞描述:
如果用戶知道了一個ASP頁面的路徑和文件名,而這個文件又是要經過驗證才能進去的,但是用戶直接輸入這個ASP頁面的文件
名,就有可能通過繞過驗證.比如:我在一些網站上這樣試過:首先關閉所有的瀏覽器,窗口,輸入:
http://someurl/system_search.asp?page=1
就樣就看到了只能系統員才能看到的頁面。當然有些人為了防止這種情況也會在system_search.asp的開頭加個判斷,比如:
判斷session("system_name"),如果不為空時就能進入,這樣上面的url請求就不能直接進入管理員頁面了。但是這種方法也有一
個漏洞,如果攻擊者先用一個合法的帳號,或者在本機上生成一個session,如session("system_name")="admi",那因為
session("system_name")不為空,這樣也能直接進入繞過密碼,直接進入管理員頁面。
解決方法:
在需要驗證的ASP頁面開頭處進行相應的處理。比如:可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個
頁面。
16、IIS4.0/5.0特殊數據格式的URL請求遠程DOS攻擊
漏洞描述:
當在安裝有有IIS4.0或者IIS5.0的web服務上,請求一個具有特殊數據格式的URL,會拖慢受攻擊web服務器的響應速度,或許會
使其暫時停止響應。
受影響的版本:
MicrosoftInternetInformationServer4.0
MicrosoftInternetInformationServer5.0
漏洞測試程序如下:
http://202.96.168.51/download/exploits/iisdos.exe
源代碼如下:
http://202.96.168.51/download/exploits/iisdos.zip
測試程序:
只要打入:iisdos<***.***.**.**>就能攻擊對方web服務器
問題解決:
InternetInformationServer4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20906
InternetInformationServer5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20904
更多的信息:
http://www.microsoft.com/technet/security/bulletin/ms00-030.asp
Microsoft安全公告MS00-021:
http://www.microsoft.com/technet/security/bulletin/fq00-030.asp
相關連接
http://www.ussrback.com
(出處:熱點網絡)
推薦資訊 總人氣榜
