積木網路什麼是“IIS解析漏洞”？
在 Windows 2003 IIS 6.0 下有兩個漏洞，微軟一直沒有給出補丁。

    漏洞1：

    在網站下建立資料夾的名字為 *.asp、*.asa 的資料夾，其目錄內的任何副檔名的檔案都被 IIS 當作 asp 檔案來解析並執行。例如建立目錄 vidun.asp，那麼 /vidun.asp/1.jpg 將被當作 asp 檔案來執行。

    那麼我們來測試一下，在網站下建立一個目錄“vidun.asp”，並在目錄下建立一個檔名為“1.jpg”的檔案(假設是使用者作為頭像上傳上來的)， 用記事本開啟“1.jpg”檔案，輸入：

    Now is: <%=Now()%>

    如圖所示，如果其中的 asp 指令碼能被執行，那麼恭喜您：漏洞存在。

     
    開啟瀏覽器，輸入地址，執行效果如下：
     

    漏洞2：

    網站上傳圖片的時候，將網頁木馬檔案的名字改成“*.asp;.jpg”，也同樣會被 IIS 當作 asp 檔案來解析並執行。例如上傳一個圖片檔案，名字叫“vidun.asp;.jpg”的木馬檔案，該檔案可以被當作 asp 檔案解析並執行。
    在網站目錄下建立檔案“vidun.asp;.jpg”，程式碼內容與上面 1.jpg 相同，開啟瀏覽器，輸入地址，執行效果如下 ：
     


    這兩個漏洞實在太可怕了，足以讓每一個站長望而崩潰，更讓站長崩潰的是微軟至今沒有釋出補丁！
　


積木網路 如何避免“IIS解析漏洞”？
    在我寫這篇文章的時候，微軟依然沒有釋出任何補丁。這個漏洞已經使得無數網站遭受攻擊。

    程式開發者應該如何避免該漏洞被利用？
    1，必須在寫程式的時候特別注意，上傳圖片後一定要用隨機的數字或英文來重新命名，檔名中最好不要含有其他字元，更不能讓使用者定義圖片檔案的名字。
    2，對於網盤系統來說，如果支援目錄建立並允許使用者自定義目錄名，且在真實的物理磁碟上建立了這個目錄的話，必須注意：目錄名必須要嚴格檢查，最好是隻允許輸入英文和數字。但最好是用資料庫記錄資料夾的層次結構，不要讓使用者知道真實的磁碟地址對應。

    我們不能坐以待斃，不能等待程式開發者升級程式或者期望微軟給出補丁(至少大半年過去了，微軟依然沒有補丁釋出)。

    解決辦法總是有的：
    “微盾™非法資訊攔截專家”為你提供終極解決方案，無需等待程式開發者的修補，也不指望微軟釋出補丁。簡單的 兩個步驟即可修補漏洞。
　

“微盾™非法資訊攔截專家”關於“IIS解析漏洞”的解決方案

    第一步：從微盾網站下載最新版本的“微盾™非法資訊攔截專家”，下載地址是：http://rd.vidun.net/?5002

    第二步：配置攔截引數，開啟“微盾™非法資訊攔截專家”配置工具 » 設定 » 攔截 » SQL注入攔截，如下圖：

     

    要新增的內容就是紅圈裡圈定的 4 條配置，分別是：

*.asp/*
*.asa/*
*.asp;*
*.asa;*　


    輸入配置後，點“儲存”按鈕即可，如果未能及時生效，請重啟 IIS。


    讓我們來看看安裝“微盾™非法資訊攔截專家”後的效果。
    即使伺服器未修補漏洞，訪問一下試試：

     

    

     


    漏洞輕鬆解決，所有的非法請求被攔截。無需修改任何程式碼，無需任何等待。

    馬上下載“微盾™非法資訊攔截專家”保護您的伺服器吧，下載地址： http://rd.vidun.net/?5002

本文轉自 北京微盾™安全工作室