发现时间：2013-02-18漏洞类型：信息泄露 描述：IIS短文件名泄露漏洞，IIS上实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举获取服务器根目录中的文件。InternetInformationServices（IIS，互联网信息服务）是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络...

我们今天继续聊攻击，不过今天说的攻击和之前稍有些区别，他主要不是针对服务器服务性能和服务能力进行攻击，而是通过页面漏洞来对用户或者用户的信息进行攻击。 XSS攻击，又叫做CSS，英文名CrossSiteScripting，中文名跨站脚本攻击。主要利用的是javascript脚本来达到攻击的效果。那他是怎么样达到攻击效果的呢？ 1、攻击的手法 我们做一个简单...

今天聊的这个攻击也是大家耳熟能详的，叫做跨站请求伪造，英文名叫Cross-SiteRequestForgery。这个攻击虽然大家都听说过，但是却是防不胜防。你即使今天防住了，说不定哪天上一个新功能，就又出现了。 1、原理 说这么多，我们还是先来看看这个攻击的原理，知道里原理，自然就知道怎么去防范他。所谓的跨站，自然要有至少两个网站；所谓请求伪造，自然要有另外的用户被利...

解决方法： 1.Server2008(R2) 根据appScan的修订建议访问地址：http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx 里面说了如何修改SSL密码套件的优先级和状态，里面有一堆的加密方式，很难知道哪些该保留，哪些改去掉（其实AppScan里面已经有提示哪些该去掉）； ...

原因分析： 服务器开启了Https时，cookie的Secure属性应设为true； 解决办法： 1.服务器配置HttpsSSL方式，参考：https://support.microsoft.com/kb/324069/zh-cn 2.修改web.con...