上傳檔案請勿只檢查副檔名 上傳檔案請勿只檢查副檔名
  IIS       ez      2011-12-05

有些網站需要提供上傳檔案功能,為了安全考量會限制某些檔案才允許上傳,例如:jpg,gif,png,通常不會允許具有程式的檔案exe,bat,com,php,asp,aspx...。

以下分別測試IIS6及IIS7,看看安全性如何!  

1. 首先建立一個asp檔案,內容為下:

<%=Request.ServerVariables (REMOTE_ADDR)%>

2. 將檔名命名為 b.asp;.jpg,如下圖:

3.分別測試IIS6及IIS7的執行結果

從上圖可以發現如果使用IIS6,如果上傳圖片只檢查副檔名.jpg,並且目錄權限設定不良,那就慘了! 因為駭客會利用此漏洞上傳ASP到您的網站進行攻擊!

如果您的網站也有開放php也有可能受害! ※可以發現IIS6才會產生此漏洞,並且微軟並無打算修改此漏洞,建議使用IIS7較為安全,即可防止此事件發生!


標籤:   IIS

我要留言