庞大资源库的计算机教程网站!
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
首页 操作系统 程序设计 图形图像 媒体动画 机械电子 WEB开发 数 据 库 办公系列 路由技术 网络原理 网络应用
认证考试 安全技术
首页>安全技术>黑客攻防>漏洞研究>正文
资料搜索
Google搜索
Google
返回上级列表

推荐文章

快速保存网页中所有图片的方法
Windows中让光驱巧妙“隐身”技
防范非法用户入侵Win 2000/XP系
两款比较典型的ASP木马防范方法
有关表格边框的css语法整理
Windows XP中可以被禁用的服务
SQL Server导出导入数据方法
Javascript所有对象的属性的获
网页(HTML)中的特殊字符
与篮球共舞,尽显模式本色
QQ病毒的手工清除方法
Photoshop为极品美女打造性感睫
天衣无缝:IIS与PHP水火也相容
SQL Server存储过程编写和优化

10大安全漏洞(3)

 作者:本站收集   日期:2005-5-8
字号选择〖 〗/ 双击滚屏 单击停止   
10大安全漏洞(3)

3. IIS (微软主页服务器)

漏洞名称:IIS RDS
影响平台:Microsoft IIS 服务器
风险级别:高风险

如果IIS的Implicit remoting被选中,RDS远程数据库服务可能导致非法用户通过IIS访问ODBC数据库。

参考:
微软安全公告:"Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS" at: http://www.microsoft.com/security/bulletins/ms99-025.asp


漏洞名称:IIS HTR
影响平台:Microsoft IIS服务器
风险级别:中风险

一个攻击者可以通过IIS服务器运行任何程序。

参考:
微软安全公告:"Workaround Available for 'Malformed HTR Request' Vulnerability" at: http://www.microsoft.com/security/bulletins/ms99-019.asp


漏洞名称:IIS畸形头
影响平台:Microsoft IIS服务器
风险级别:中风险

在微软的IIS 4.0和SiteServer 3.0存在一个漏洞,如果攻击者发出特殊畸形HTTP请求头数据包组成的风暴,可能导致Web服务器消耗系统的所有内存。服务器只能停机或者重新启动才能恢复到正常状态。

参考:
微软安全公告MS99-029: "Patch Available for 'Malformed HTTP Request Header' Vulnerability" at: http://www.microsoft.com/security/bulletins/ms99-029.asp


漏洞名称:PWS文件访问
影响平台:微软Microsoft Personal Web Server 4.0
风险级别:中风险

在Microsoft Personal Web Server (PWS)和FrontPage PWS文件访问协议中有一个漏洞可能导致任何文件远程可读。攻击者只要预先知道文件的名称就可以利用此漏洞。攻击者无法获得比读更高的权限

参考:
微软安全公告MS99-010: "Patch Available for File Access Vulnerability in Personal Web Server" at: http://www.microsoft.com/security/bulletins/ms99-010.asp


漏洞名称:IIS CGI Lasso
影响平台:CGI
风险级别:中风险

Lasso CGI程序安装在很多Web服务器中,特别是WebSTAR服务器。其中由一个漏洞可以允许攻击者读取系统中的任何文件。虽然不会导致进一步的非法访问,但是可能导致重要文件失密。

参考:
BugTraq邮件列表:"Lasso CGI security hole (fwd)" at: http://www.netspace.org/cgi-bin/wa?A2=ind9708D&L=bugtraq&P=R1093


漏洞名称:PHP3 元字符
影响平台:PHP3
风险级别:高风险

PHP3是一个scripting语言,可以用于web主机设置。如果主机设置中允许安全模式,一个远程攻击者可能发送元字符,导致攻击者执行服务器的任何命令。

参考:
微软安全公告MS99-010: "Patch Available for File Access Vulnerability in Personal Web Server" at: http://www.microsoft.com/security/bulletins/ms99-010.asp


漏洞名称:PHP mlog.html读文件
影响平台:PHP, CGI
风险级别:中风险

mlog.html示范script程序随PHP/FI包一起交付,允许远程攻击者读取系统中任何文件。攻击者只能看到启动httpd服务进程的用户可以访问的文件,一般这个用户是"nobody"。 这个漏洞在随PHP/FI包一起交付的mylog.html中也存在。这个漏洞已经广为所知。

参考:
BugTraq邮件列表: "Vulnerability in PHP Example Logging Scripts" at: http://www.securityfocus.com/templates/archive.pike?list=1&
msg=3.0.3.32.19971019203840.0075b7b0@mail.underworld.net
上一篇:10大安全漏洞(4)    下一篇:10大安全漏洞(2)  
[发送给好友]  [关闭窗口]  [返回顶部]   转载请注明来源:www.it00.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 原点 投稿作者: 本站收集
信息来源: 网络 录入时间: 2005-5-8
关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿
Copyright ©2005 - 2008 IT00.COM,All Rights Reserved