IIS6 安全性存在超级BUG,快来看

在IIS6中,创建一下test.asp;jpg的文件,是可以直接执行的,如果程序(ASP/ASP.NET/PHP/JSP/...)允许上传文件时,黑客可以上传一个xxx.asp;.jpg 文件.当浏览该文件时, 然后该文件会直接以ASP的方式被执行!这个BUG够超级了,郁闷吧。

解决方法是任何上传的功能, 都要禁止 '.asp;.' , 或者干脆禁止 ';' 符号.

(0)

相关推荐

  • IIS6 安全性存在超级BUG,快来看

    在IIS6中,创建一下test.asp;jpg的文件,是可以直接执行的,如果程序(ASP/ASP.NET/PHP/JSP/...)允许上传文件时,黑客可以上传一个xxx.asp;.jpg 文件.当浏览该文件时, 然后该文件会直接以ASP的方式被执行!这个BUG够超级了,郁闷吧. 解决方法是任何上传的功能, 都要禁止 '.asp;.' , 或者干脆禁止 ';' 符号.

  • 利用Python实现自定义连点器

    目录 前言 整体思路 所有功能 简单演示 点击功能 延时功能 连点功能 存储功能 读取功能 存储导入功能[升级版] 拖拽功能 右击.中击.双击功能的实现 按键功能 滚动滚轮功能 查看功能 执行功能 逻辑判断功能板块 判断功能 判断功能的逻辑代码 逻辑执行功能的实现 完整代码 前言 前些天留意到我妈一直在预约四价疫苗都约不上,就想着写个程序来模拟人的操作去点击,判断疫苗是否被抢完,无限循环去刷新这个页面,一旦疫苗可预约就立马抢下来选择时间接种人.当预约成功后就语音循环播报:已经抢到,赶紧过来看一下

  • C#程序员应该养成的程序性能优化写法

    曾经在网上听过这样一句话 程序的可读性和性能是成反比的 我非常赞同这句话,所以对于那些极度影响阅读的性能优化我就不在这里赘述了 今天主要说的就是一些举手之劳即可完成的性能优化 减少重复代码 这是最基本的优化方案,尽可能减少那些重复做的事,让他们只做一次 比较常见是这种代码,同样的Math.Cos(angle) 和Math.Sin(angle)都做了2次 优化前 private Point RotatePt(double angle, Point pt) { Point pRet = new Po

  • Java函数式编程(七):MapReduce

    译注:map(映射)和reduce(归约,化简)是数学上两个很基础的概念,它们很早就出现在各类的函数编程语言里了,直到2003年Google将其发扬光大,运用到分布式系统中进行并行计算后,这个组合的名字才开始在计算机界大放异彩(那些函数式粉可能并不这么认为).本文我们会看到Java 8在摇身一变支持函数式编程后,map和reduce组合的首次亮相(这里只是初步介绍,后续还会有针对它们的专题). 对集合进行归约 现在为止我们已经介绍了几个操作集合的新技巧了:查找匹配元素,查找单个元素,集合转化.这

  • Android Animation实战之一个APP的ListView的动画效果

    熟悉了基础动画的实现后,便可以试着去实现常见APP中出现过的那些精美的动画.今天我主要给大家引入一个APP的ListView的动画效果: 当展示ListView时,Listview的每一个列表项都按照规定的动画显示出来. 说起来比较抽象,先给大家看一个动画效果,这是APP窝牛装修的ListView显示动画: 有木有觉得很酷炫?有木有啊!? 一.Layout Animation     所谓的布局动画,其实就是为ViewGroup添加显示动画效果,主要用过LayoutAnimationContro

  • Python竟能画这么漂亮的花,帅呆了(代码分享)

    阅读本文大概需要3分钟 关于函数和模块讲了这么久,我一直想用一个好玩有趣的小例子来总结一下,同时也作为实战练习一下. 趣味编程其实是最好的学习途径,回想十几年前我刚毕业的时候,第一份工作就给手机上写app,当时觉得非常好玩,那个是时候还是用symbian系统,熬了好几个通宵用j2me写了一个坦克大战,到现在还记得当程序运行的时候坦克互战的情景,真的是蛮兴奋的. 好吧一下子扯远了,我们还是回到正题:我想来想去,决定要找一个好玩有趣的例子来总结,总于被我找到了,这个例子只有20几行代码,非常适合初学

  • 如何利用多核CPU来加速你的Linux命令(GNU Parallel)

    你是否曾经有过要计算一个非常大的数据(几百GB)的需求?或在里面搜索,或其它操作--一些无法并行的操作.数据专家们,我是在对你们说.你可能有一个4核或更多核的CPU,但我们合适的工具,例如 grep, bzip2, wc, awk, sed 等等,都是单线程的,只能使用一个CPU内核. 借用卡通人物Cartman的话,"如何我能使用这些内核"? 要想让Linux命令使用所有的CPU内核,我们需要用到GNU Parallel命令,它让我们所有的CPU内核在单机内做神奇的map-reduc

  • IIS UNICODE Bug

    一.存在的漏洞1. 微软IIS 4.0 / 5.0 存在扩展UNICODE目录遍历漏洞,该漏洞既是一远程漏洞,同时也是一本地漏洞. 受影响的版本: Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 - Mi

  • PHP中使用addslashes函数转义的安全性原理分析

    本文实例讲述了PHP中使用addslashes函数转义的安全性原理分析.分享给大家供大家参考.具体分析如下: 先来看一下ECshop中addslashes_deep的原型 复制代码 代码如下: function addslashes_deep($value) {     if (empty($value)) {         return $value;  //如为空,直接返回;     } else {         return is_array($value) ? array_map(

  • Session的工作机制详解和安全性问题(PHP实例讲解)

    我们先简单的了解一些http的知识,从而理解该协议的无状态特性.然后,学习一些关于cookie的基本操作.最后,我会一步步阐述如何使用一些简单,高效的方法来提高你的php应用程序的安全性以及稳定行. 我想大多数的php初级程序员一定会认为php默认的session机制的安全性似乎是有一定保障的,事实恰好相反 – php团队只是提供了一套便捷的session的解决方案提供给程序员使用,至于安全性的话,应该由程序员来加强,这是应用程序开发团队的责任.因为,这里面的方法很多,可以这么说吧,没有最好,只

随机推荐