• [网络安全] IIS短文件名泄露漏洞
    发现时间:2013-02-18   漏洞类型:信息泄露 描述:IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件。Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 解决方案:三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改. 方案1.修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSys... 阅读全文
  • [网络安全] 基于页面的攻击:XSS(跨站脚本攻击)
    我们今天继续聊攻击,不过今天说的攻击和之前稍有些区别,他主要不是针对服务器服务性能和服务能力进行攻击,而是通过页面漏洞来对用户或者用户的信息进行攻击。 XSS攻击,又叫做CSS,英文名Cross Site Scripting,中文名跨站脚本攻击。主要利用的是javascript脚本来达到攻击的效果。那他是怎么样达到攻击效果的呢? 1、攻击的手法  我们做一个简单的实验就知道了。  我们写了一个最简单的网页,他由一个内容框和按钮组成。当在内容框里输入完内容以后,我们点击提交,我们的javascript代码就将输入的内容显示在网页上。我们简单的测试一下,在文本框中输入普通的文本:  如果,这个时候,我们输入的不是普通文本,而是一段javascript代码:<script>al... 阅读全文
  • [网络安全] 背地里搞你的攻击:CSRF(跨站请求伪造)
    今天聊的这个攻击也是大家耳熟能详的,叫做跨站请求伪造,英文名叫Cross-Site Request Forgery。这个攻击虽然大家都听说过,但是却是防不胜防。你即使今天防住了,说不定哪天上一个新功能,就又出现了。  1、原理  说这么多,我们还是先来看看这个攻击的原理,知道里原理,自然就知道怎么去防范他。所谓的跨站,自然要有至少两个网站;所谓请求伪造,自然要有另外的用户被利用。所以,这里的角色一共有四个。攻击者 + 被利用的用户 + 网站A + 网站B。  A、第一步:埋下祸根   这里有一个网站A,他提供一个功能就是发贴,而且贴子里面能够带图片链接,或者点击链接。注意:这里一定是发链接,而不是本地上传图片。  与此同时,网站B有一个提交的接... 阅读全文
  • 1
  • 共 3 条记录