参考了http://www.st999.cn/blog/?action=show&id=69,感谢许云风大大带来如此精彩的文章!
IIS的安全设置和一个网站的安全是密不可分的,不仅是WEB方面的安全,我们也要做到WEB服务器的安全,所以我们要学会IIS
的安全设置。
在IIS中有这几个选项是相当重要得了:
脚本资源访问: 对网站的脚本可以读取原文件。
读取 读取目录里面的静态资源。
写入 用户可以建立以及删除资源
目录浏览 用户可以浏览目录内容。
应用程序设置的执行许可中有三个选项:
无 只能访问静态页面
纯脚本 只允许允许脚本 如ASP脚本
脚本和可执行程序 可以访问和执行各种文件类型
其实IIS写权限漏洞就是我们对IIS服务器没有设置好所造成的。
如果一个目录同时开了”写”和“脚本和可执行程序”的话,那么web用户就可以上传一个程序并且执行它,这就是所谓的IIS
写权限漏洞。
下面讲讲它的利用!
用到的工具
IISPutScanner.exe 用来扫描有写权限漏洞的工具
iiswrite.exe 对写权限漏洞利用的工具
晕死,找了半天也没找到有IIS权限漏洞的网站,无法演示了!等以后有找到再补上吧。。。
只显示10条记录相关文章
脚本安全之第二章 ACCESS暴库 (浏览: 10258, 评论: 0)
脚本安全之第一章 google hacking (浏览: 11755, 评论: 0)
脚本安全之前言 (浏览: 9568, 评论: 0)
脚本安全之第一章 google hacking (浏览: 11755, 评论: 0)
脚本安全之前言 (浏览: 9568, 评论: 0)
Trackbacks
 |
 |
 |
