阅读更多

4顶
1踩

互联网

转载新闻 IIS 6 惊现 WebDAV 漏洞攻击

2009-05-20 10:59 by 副主编 zly06 评论(0) 有6325人浏览

COMSHARP CMS 写道:美国计算机紧急反应组近日透露,上周发现的  IIS6 WebDAV 漏洞已经被用在攻击中,这个由计算机安全专家 Nikolaos Rangos 发现的漏洞可以通过一个伪造的  HTTP  请求,查看并上传文件到 IIS6 服务器,攻击利用了微软处理 Unicode token 过程中的漏洞。

 

微软在一份声明中表示,尚未听说此类攻击的发生,但他们正在对此进行观察,并将提供安全顾问为用户提供帮助。漏洞只影响那些在 IIS6 中启用了 WebDAV 协议的系统,WebDAV 用来在 Web 上共享文档。

攻击者可以无需授权,查看那服务器的文件,并上传文件到服务器,独立安全专家 Thierry Zoller 确 认了 Rangos 的发现,不过 Zoller 表示他还没有发现可以在被攻击服务器上运行任何恶意程序的方法。Zoller 同时表示,IIS5 和 IIS7 目前不受影响,但微软其它使用 WebDAV 技术的产品可能也面临危险。他建议用户在收到微软补丁之前先禁用 WebDAV 协议。

Rangos 在采访中表示,使用了 WebDAV 技术的 Exchange 服务器与 SharePoint 服务器都未受到威胁。

Cisco 也发表了同样的安全警告,他们在一份发表在自己官方网站的安全警告中表示,那些使用了 IIS6 WebDAV 技术,并且站点中有敏感文件的站点管理员应该采取措施,因为攻击代码已经被公布于众。

在 IIS6 中禁用 WebDAV 非常简单,只需在 Windows 2003  的安装和卸载 Windows 组件中,找到应用程序服务器部分,并进入 IIS 组件选项,去掉 WebDAV 前面的勾选,然后重新启动  IIS 即可 - 译者。

本消息来源:http://www.techworld.com/security/news/index.cfm?newsid=116029

来自: comsharp
4
1
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • IIS6、IIS7.5中禁用WebDAV的方法

    主要介绍了IIS6、IIS7.5中禁用WebDAV的方法,需要的朋友可以参考下

  • MSF之IIS6WebDAV执行漏洞复现

    MSF之IIS6WebDAV执行漏洞复现准备扫描漏洞 准备 实验准备环境: 靶机:虚拟机win2003 r2位系统,其IP为:10.101.63.150 攻击机:kali系统,其IP为:10.101.17.33 攻击工具:kali自带的msfconsole工具 靶机...

  • 文件解析漏洞(IIS、WebDav)

    IIS文件解析漏洞 IIS6.0在解析文件时存在两个解析漏洞 1.当建立*.asp、*.asa格式的文件夹时,其目录下的任意文件都将被IIS当作asp文件进行解析。 例如:建立一个文件夹test.asp,在test.asp文件夹中新建一个文本文档...

  • 〖教程〗LadonExp使用IIS写权限Webdav漏洞复现

    LadonExp生成器使用教程之IIS写权限漏洞利用,含环境配置、EXP生成、批量利用、Pyhton复现代码。 漏洞成因 该漏洞的产生原因来源于服务器配置不当造成,此漏洞主要是因为服务器开启了webdav的组件导致的可以扫描到...

  • Microsoft IIS WebDAV安全漏洞修复参考

    0x01 漏洞简介 Windows Server是微软发布的一系列服务器操作系统。Internet Information Services(IIS)是一套运行于... Windows Server 2003 R2中的IIS 6.0版本中的WebDAV服务的‘ScStoragePathFromUrl’函数

  • iis6.0远程代码执行漏洞

    iis6.0远程代码执行漏洞 1、实验环境搭建 目标主机Windows server2003 sp2 2、目标服务器需要在IIS里面开启WebDAV 3、靶机IP:192.168.149.136(需要改成自己虚拟机win2003的地址) Kali IP : 192.168.149.150...

  • IIS6.0 PUT上传漏洞

    该漏洞产生原理来源于服务器配置不当,利用IIS PUT Scancer 扫描有漏洞的IIS,漏洞主要是由于IIS服务器开启了webdav的组件导致IIS支持PUT写入功能。修改域名—>数据包格式选择PUT—>选择你要上传的大马—>提交数据包...

  • Windows WebDAV服务漏洞复现+利用+修复

    安装服务的时候要安装WebDAV。在靶机web目录写马。禁用WebDAV服务。

  • 安全提示:IIS不要开启“WebDAV”扩展

    在IIS设置里,有一个“Web服务扩展”的设置,其中包括“WebDAV”扩展。许多人都不明白,这个“WebDAV”扩展是干嘛用的,要不要开启呢?有不少人的想法是“开启吧,以免影响网站运行,启用总比不启用好”。其实,这些...

  • webdav漏洞扫描器

    webdav漏洞扫描器, 可以扫描WEB服务器存在的漏洞

  • 学着分析CVE-2017-7269 -- IIS 6.0 WebDAV远程代码执行漏洞

    漏洞影响:Windows Server 2003 r2 IIS6.0 漏洞发现人:Zhiniang Peng和Chen Wu(华南理工大学信息安全实验室,计算机科学与工程学院) 漏洞类型:缓冲区溢出 实验环境 Windows Server 2003 r2 IIS6.0 ...

  • IIS webdav扫描器

    IIS webdav扫描器IIS webdav扫描器

  • IIS 漏洞总结

    IIS解析漏洞 漏洞原理 实验环境搭建 漏洞复现 IIS介绍 iis是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务 IIS6.0 版本 目录解析...

  • IIS WebDAV配置,https绑定及asp设置

    图上已经绑定了默认的443 https端口,点添加后还要以继续绑定其它端口,或绑定ftp,这样WebDAV这个站点即是 http, 也是 https, 还可以是 ftp , 还可以附加相同功能但不同端口。添加https时会要求创建本站的(省略了...

  • 服务器网站iis如何关闭,IIS7如何关闭WebDAV扩展服务

    在上一篇文章中,介绍了开启WebDAV扩展服务的危害性,必须关闭,不过那篇文章是针对IIS6.0的配置。对于IIS7来说,道理也是一样的,一般网站无需用到WebDAV扩展服务,强烈建议关闭。那么IIS7如何关闭WebDAV扩展服务呢...

  • IIS6.0文件解析漏洞

    1、IIS6.0解析漏洞介绍 2、IIS6.0PUT上传原理 3、IIS6.0解析文件类型 4、IIS6.0文件解析漏洞修复方案 二、环境配置 三、文件上传 1、设置代理 2、靶机环境配置 3、截取数据包 4、探测漏洞 5、创建文件,并...

  • IIS解析漏洞

    WebDAV漏洞 IIS文件解析漏洞 IIS目录解析漏洞 one 什么是IIS? Internet Information Services(互联网信息服务),由微软公司提供的基于运行Microsoft Windows的互联网基本服务 中间件 是介于应用系统和系统...

  • YOLO算法-城市电杆数据集-496张图像带标签-电杆.zip

    YOLO系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,包含数据集配置文件data.yaml,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中,文件名末尾是部分类别名称; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值; 【注】可以下拉页面,在资源详情处查看标签具体内容;

  • (177406840)JAVA图书管理系统毕业设计(源代码+论文).rar

    JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代码+论文) JAVA图书管理系统毕业设计(源代

Global site tag (gtag.js) - Google Analytics