报告一个IIS6,ASP的一个超级BUG, 大家一定要立刻检查哦!!

这是一个很严重的BUG, 目前微软还没有提供HOTFIX.

 

当你的服务器允许运行ASP , 而你的程序(ASP/ASP.NET/PHP/JSP/...)允许上传文件时

 

黑客可以上传  xxxx.asp;.jpg , xxxx.asp;yyy.jpg 文件.

 

当浏览该文件时, 然后该文件会直接以ASP的方式被执行!

 

解决方法是任何上传的功能, 都要禁止 '.asp;' , 或者干脆禁止 ';' 符号.

 

posted on 2010-03-30 09:36 Lostinet 阅读(2160) 评论(20) 编辑 收藏

评论

#1楼  回复 引用 查看   

好像有了好一阵了,这是IIS解析的问题,貌似去年10月左右就有了,你找找网上有没有解决方案吧
2010-03-30 09:40 | HCOONa      

#2楼  回复 引用 查看   

MIME类型检查不出来吗
2010-03-30 09:42 | Capricornus      

#3楼  回复 引用 查看   

很久不见楼主了,来关注一下 :)
2010-03-30 10:32 | 木野狐(Neil Chen)      

#4楼  回复 引用 查看   

asp,貌似现在玩.net的管理员一般都不安装这个的吧?

其实根本在于:把上传文件全部集中到一个目录,然后不给这个目录执行权限就行了,不管你传什么木马上去,运行不了,也就不能害人了,这是最彻底的办法
2010-03-30 10:38 | 菩提树下的杨过      

#5楼  回复 引用 查看   

对上传文件名进行检查可以么?

关于楼上,读取和运行时同一权限,不可以单独禁止
2010-03-30 10:52 | 十二月的雪      

#6楼  回复 引用 查看   

这个早知道了,并且使用该漏洞进行入侵的例子有很多了。
2010-03-30 11:17 | killkill      

#7楼  回复 引用 查看   

与其说是IIS漏洞,不如说是上传文件漏洞,同样的漏洞发生在提交特定分隔符数据至Access数据库时,出现的特权漏洞。
早就有了,写程序时要注意~
2010-03-30 11:45 | 李鸣(aicken)      

#8楼  回复 引用 查看   

好险~
2010-03-30 11:58 | daydaydevelop      

#9楼  回复 引用 查看   

引用十二月的雪:
对上传文件名进行检查可以么?

关于楼上,读取和运行时同一权限,不可以单独禁止

我说的是IIS中的脚本执行权限,非NTFS的文件夹权限
2010-03-30 12:28 | 菩提树下的杨过      

#10楼  回复 引用 查看   

补充一种情况。

如果黑客创建一个"1.asp"目录,
再在目录下上传2.jpg文件,也会以asp脚本方式运行。
即:/1.asp/2.jpg

老bug了。
2010-03-30 13:14 | yexuan      

#11楼  回复 引用 查看   

不说我还不知道,谢谢。
2010-03-30 14:40 | 秋叶抚风      

#12楼  回复 引用 查看   

禁止目录脚本运行权限就可以了,N多年前的问题了
2010-03-30 15:03 | piaoxue      

#13楼  回复 引用 查看   

自己的机器可以禁止脚本,虚拟机用户呢,不知道微软有没有出相关补丁
2010-03-30 16:30 | yongfa365      

#14楼  回复 引用 查看   

@菩提树下的杨过
哦,明白了。。感谢
2010-03-30 16:40 | 十二月的雪      

#15楼  回复 引用 查看   

引用yongfa365:自己的机器可以禁止脚本,虚拟机用户呢,不知道微软有没有出相关补丁

虚拟机用户,在服务端保存上传文件前,先做MIME类型检测就行了,文件扩展名可以伪装,但是MIME要伪装就不是那么容易了

其实这类bug,已经存在近10年了,早在asp年代"无组件无惧上传类"里就有了,检测MIME类型+服务端安全设置,这是根本解决之道
2010-03-30 16:48 | 菩提树下的杨过      

#16楼  回复 引用 查看   

上传到服务器上的文件一般都会被重命名吧 那样就没有;了
2010-03-30 17:00 | 隨風.NET      

#17楼  回复 引用 查看   

引用菩提树下的杨过:
引用yongfa365:自己的机器可以禁止脚本,虚拟机用户呢,不知道微软有没有出相关补丁

虚拟机用户,在服务端保存上传文件前,先做MIME类型检测就行了,文件扩展名可以伪装,但是MIME要伪装就不是那么容易了

其实这类bug,已经存在近10年了,早在asp年代"无组件无惧上传类"里就有了,检测MIME类型+服务端安全设置,这是根本解决之道

如何检测mime类型,还请不吝指教
2010-03-31 10:04 | yongfa365      

#18楼  回复 引用 查看   

@yongfa365
就是ContentType
2010-03-31 10:22 | 菩提树下的杨过      

#19楼  回复 引用 查看   

@菩提树下的杨过
你说的我知道,但我还是不知道怎么操作,能详细说下不
2010-03-31 15:14 | yongfa365      

#20楼  回复 引用 查看   

引用yongfa365:
@菩提树下的杨过
你说的我知道,但我还是不知道怎么操作,能详细说下不

http://www.cnblogs.com/yjmyzz/archive/2010/03/24/1693934.html

参考这里面的"3.3 MIME类型/ContentType校验"
2010-03-31 15:20 | 菩提树下的杨过      
最新IT新闻:
· Twitter联合创始人:长时间用Twitter不利健康
· 盛大文学重启赴美IPO计划拟融资2亿美元
· 谷歌招聘揭秘:入职就像进入美军海豹突击队
· 诺基亚超HTC成第一大Windows Phone手机商
· Google Voice支持圈子功能:可用于过滤来电
» 更多新闻...

导航

<2010年3月>
28123456
78910111213
14151617181920
21222324252627
28293031123
45678910

公告

昵称:Lostinet
园龄:7年6个月
粉丝:3
关注:2

搜索

 
 

常用链接

我的标签

随笔分类

随笔档案

最新评论

阅读排行榜

评论排行榜

推荐排行榜