系统安全漏洞与.pptVIP

蓝盾网络安全讲座 -----张贺勋 WIN2000系统日志 IIS日志 FTP日志 Jsp代码泄漏漏洞 描述：危害性强，有可能可以查看到数据库帐号密码。 在访问JSP页面时，如果在请求URL的.jsp后缀后面加上一或多个‘.‘、‘%2E’、‘+’、‘%2B’、‘\’、‘%5C’、‘%20’、‘%00’ ，会泄露JSP源代码。测试 :查看网页源代码 http://localhost:8080/index.jsp 服务器会正常解释。 http://localhost:8080/index.jsp. 只要在后面加上一个.就会导致源代码泄漏(可以通过浏览器的查看源代码看到)。 原因： 由于Windows在处理文件名时，将index.jsp和index.jsp.认为是同一个文件。  CGI漏洞 x.htw or qfullhit.htw or iirturnh.htw描述：危害性强，IIS4.0上有一个应用程序映射htw---webhits.dll，这是用于Index Server的点击功能的。尽管你不运行Index Server，该映射仍然有效。这个应用程序映射存在漏洞，允许入侵者读取本地硬盘上的文件，数据库文件，和ASP源代码。 一个攻击者可以使用如下的方法来访问系统中文件的内容：/iissamples/issamples/oop/qfullhit.ht