中华合租网-中华合租网-透明合租主机,合租空间,合租服务器,服务器合租,双线合租,linux主机,香港主机等品牌提供商,致力打造国内透明合租第一品牌
 
  当前位置:首页 > 新闻中心
 
MSSQL本地管理?
阅读次数:10398 发布日期:2009-3-23 来源:中华合租网
 

尊敬的用户:


危害程度:极严重。黑客可以通过此漏洞取得WebShell权限。

影响版本:动易2006 所有版本(包括免费版、商业SQL版及Access版),正式版、SP1、SP2、SP3、SP4、SP5都受此影响。

漏洞描述:因为Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章,大家可以查看这里:http://www.gimoo.net/technology/ld/200409/164629.shtml

动易2006中的部分功能因为设计时没有考虑到这种攻击方式,致使黑客可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。

郑重声明:在了解了此漏洞后,请勿攻击他人!否则你将可能会受到法律的惩罚!

临时解决方法:删除Space文件夹(临时),删除User/User_Space.asp文件。

补丁文件:暂无

友情提示:请站长检查除动易系统外的全部系统,凡有用户可自主命名文件夹权限的功能,在微软公司的补丁出现之前,建议全部关闭,以免造成更大的损失。

 

小经验:

扩展名为jpg/gif的木马检查方法:

在资源管理器中使用详细资料方式,按类别查看。点“查看”菜单--“选择详细信息”--勾选上“尺寸”,确定。此时,正常的图片文件会显示出图片的尺寸大小,没有没有显示,则99%可以肯定是木马文件。用记事本程序打开即可100%确定。
 

返回
 
首 页 | 联系我们 | 新闻公告 | 关于我们 | 相关资质 | 加盟代理 | 相关下载 | 新手指南 | 付款方式
Copyright 2006-2009 中华合租网[WWW.ZHHZW.COM] All Rights Reserved 八度网络营业执照
联系地址:中国*安徽省合肥市高新区西二环与望江西路交口西南角亚夏汽车大厦20楼  邮编:230031
香港八度網絡科技有限公司:香港皇后大道中283號聯威商業中心15樓C室 聯繫電話:00852-2136 0666
香港八度網絡科技有限公司机房地址:香港葵湧禾塘咀街41-55號世和中心7樓IDC數據中心 
电话:0551-64287617 传真:0551-64390832
中华人民共和国经营性ICP许可证:皖B1.B2-20210223  皖B2-20060041号-5号 版权所有 © 严禁复制 
八度网络常年法律顾问--李祥律师 , 本站素材部分来源于网络,如有侵权请告知删除。