全球主机交流论坛

标题: 有人试过这个漏洞没？ [打印本页]

作者: andong 时间: 2012-12-15 19:10
标题: 有人试过这个漏洞没？
WebDAV曝目录写权限漏洞
据了解，WebDAV（Web-based Distributed Authoring and Versioning）是一种基于 HTTP 1.1协议的通信协议，一般用来发布和管理Web资源，包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV，这也导致该漏洞波及范围较广。事实上，该WebDAV漏洞属于配置缺陷，于数年前就被曝光，但由于部分站长安全意识较为薄弱，所以该漏洞至今仍广泛存在。

攻击者的目标为使用IIS服务器并启用WebDAV的网站，主要攻击方式为以下四种：
1、直接上传文本格式木马文件；
2、修改网站原有文件（如CSS样式文件）实现挂马；
3、通过Move方法上传ASP格式的木马文件；
4、结合IIS6.0文件名解析漏洞，上传xxx.asp;aa.txt木马文件。

图1：使用Move命令可上传任意文件

图2：脚本执行成功，若上传的是木马文件则实现攻击
鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害，360网站安全检测平台已第一时间向旗下用户发送了告警邮件，强烈建议网站管理员禁用WebDAV功能，并定期使用360安全检测服务随时监控网站安全状态。

摘自中国云安网(www.yunsec.net) 原文：http://www.yunsec.net/a/security/bugs/other/2012/0907/11367.html

作者: wwww961h 时间: 2012-12-15 19:11
楼上技术帝

作者: vagaa 时间: 2012-12-15 19:11
我不用IIS

作者: ccc 时间: 2012-12-15 19:13
不用IIS

作者: qy117121 时间: 2012-12-15 19:15
不用iis

作者: 花雪月静 时间: 2012-12-15 19:22
不用iis

作者: wdlth 时间: 2012-12-16 13:10
这货在2K某个SP后就不存在了

作者: 慕容咩咩 时间: 2012-12-16 13:23

楼主可以找那些喜欢炫耀uptime的机器下手。。。

作者: wvidc 时间: 2012-12-16 13:50
没有开WebDAV

作者: mtx 时间: 2012-12-16 13:51
没有测试过啊

作者: waf7225 时间: 2012-12-16 15:01
NGINX撸过！

欢迎光临全球主机交流论坛 (https://hostloc-workers.ikyomon.com/)