注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

业精于专,成于广

slow down & keep thinking

 
 
 

日志

 
 

ASP安全漏洞及防护方法(二)  

2006-08-03 14:36:21|  分类: 完全CS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
IIS安全漏洞

  大量的研究成果与事实表明,相当一部分ASP安全漏洞其本质是IIS的漏洞。由于目前ASP程序只能运行于微软公司的IIS服务器上,因此很有必要专门研究IIS的安全问题。例如D.o.S攻击漏洞就是一种典型的IIS安全漏洞。
D.o.S(Denial of Service),即拒绝服务攻击,是指向服务器大量发送数据或特定服务请求,使受害服务器无法及时处理正常请求的一种攻击方式。针对IIS进行的D.o.S攻击的手段很多,下面介绍一种典型的攻击方法:
  受影响的版本:IIS 5.0
  IIS 5.0在处理以".ida"为扩展名的URL请求时,会有两种结果。一种是服务器回复"URL String too long"的信息,或类似"Cannot find the specified path" 的信息。另一种是服务器端服务停止,并返回"Access Violation"信息,即服务器端被实施了拒绝服务攻击。
  当攻击者发出类似如下的请求时:
  http://someurl/...[25kb of '.']...ida
服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息(暴露文件物理地址)。
  解决办法:目前各站点已很少使用扩展名为".ida"和".idq"的文件,可在IIS的扩展名映射设置中,将对".ida"和".idq"的应用程序映射删除。也可安装微软官方补丁。

(待续,节选自我的毕业设计论文,请勿转载!)
  评论这张
 
阅读(35)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018