IIS目录解析漏洞的解决办法

很多企业站点还是使用asp程序,那边 也就是跑在经典的win2003+iis6的WEB环境下。

 几年前IIS出过一个目录解析漏洞 就是 URL目录里  存在.asp字符。那么该目录下的文件会作为 asp文件来执行。如果在上传检查时不够严格,那么会出现严重的安全隐患。

  这次发现的 IIS解析漏洞 出现了新的 形式 如下
1_asp;.jpg  只需要存在这样的文件名,机会被当做 ASP程序执行,由于不需要创建指定名称的目录,危害性还是很大的。

防范方法有以下三方面:
1.程序对于上传的文件进行文件类型检查。
2.对于upload目录设置IIS站点 无脚本执行权限。
3。 批量设置,使用IIS 的REWRITE功能。对于IDC服务商 比较有效,比较 不能挨个帮客户检测程序。

以下为整理的 URL规则,高中 排列组合 学的太烂,大小写切换 名称 都看晕了。

新浪免费企业邮局申请

免费-收费-免费-企业邮局免费-- 那一年,263打开了收费邮箱的时代,然后所有邮箱几乎一夜之间都变成收费的了. 然后为了抢用户,又全部免费了, 现在为了竞争,企业邮局也纷纷免费了. 新浪企业邮箱免费…

一个恐怖的木马aspxspy简单的防范方法

如果你的服务器支持.NET那就要注意了,aspxspy的网页有个功能叫:IIS Spy,点击以后可以看到所有站点所在的物理路径。一般设置单用户权限即可屏蔽,但是有时不管事。

一种方法:
我们也可以做如下简单设置:
%SystemRoot%/ServicePackFiles/i386/activeds.dll
%SystemRoot%/system32/activeds.dll
%SystemRoot%/system32/activeds.tlb
搜索这两个文件,把USER组和POWERS组去掉,只保留administrators和system权限..如果还有其它组请全部去掉..这样就能防止这种木马列出所有站点的物理路径..。

 另一个解决办法 :

国外Plesk面板的Asp空间不支持Access数据库的解决方法

国外Windows的ASP空间一般都是Plesk面板,有些支持access数据库,使用比较方便;
但有些需要设置 odbc dsn连接,才可以使用ms access数据库,否则容易出现500 Internal Server Error 错误。让Plesk面板Windows空间支持access数据库(.MDB,.MDF等等)的设置方法如下:

按照下面步骤操作:

首先,先在网站目录下(httpdocs)建立一个文件夹,给足读写权限,这个可以远程操作,也可以在Plesk控制面板点击Padlock图标(就是一个小锁头),这个图标在File manager里可以找到,文件夹右侧,金黄色的小锁头。

如果以前网站有数据库的 直接就可以操作权限了,不用建立新的目录。