如果你觉得本站还不错,为方便下次访问,可以【加入收藏】 最快知道本站更新,请订阅切换到繁體中文
百姓生活网
首页 | 时尚女性 | 家有爱车 | 妈妈宝贝 | 美食厨房 | 亲亲大自然 | 爱上摄影 | 电脑学堂 | 我爱我家 | 健康人生 | 小小书房 | 壁纸下载 | 影视评论 | 学英语 | 商业
养殖 | 种殖 | 产业信息
子 栏 目 导 航: 电脑学堂硬件资讯 软件资讯 网页设计 实战地带 互联八卦 游戏世界
您现在的位置: 百姓生活网 >> 点点滴滴 >> 电脑学堂 >> 软件资讯 >> 信息安全 >> 正文
动易网络发布的漏洞补丁公告

作者:佚名    文章来源:本站原创    点击数:    更新时间:2005-10-13

本站在此之前也被人用利用此漏洞上传过木马文件,请使用动力的用户尽快更新。

 

发现严重安全漏洞、补丁及解决方法

漏洞现象:黑客可以利用漏洞上传木马程序到网站,然后利用木马进一步取得网站控制权。

安全等级:严重

受影响的版本:动力/动易所有版本

漏洞分析:
    因上传文件在设计上存在着一处考虑不周的情况,使用黑客可以通过自己构造上传文件表单进行提交上传数据,然后上传扩展名为.cer的文件(此文件也是通过asp.dll)来解析。


解决方法:
1、检查网站目录中是否存在扩展名为.cer、.cdx的文件,若有,立即删除。

2、在网站属性中删除全部映射,只留下 .asp .asa两个。特别要删除.cer的映射。(可选)
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp这几个有关上传的文件,找到如下这行:
动易用户:
for each FormName in objUpload.file '列出所有上传了的文件
动力用户:
for each formName in upload.file '列出所有上传了的文件
在这一行下加上如下这一行代码:
EnableUpload=False
即可。

或者下载我们提供的补丁。覆盖原文件。

4、最好检查一下网站中的所有文件。如果是自己的服务器,请再检查是否已经上传了其他木马程序。

发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
  • 上一篇文章:

  • 下一篇文章:
  • 赞助商链接: | 阅读过这篇文章的网友,同时还还阅读了以下几篇文章:
    ldb文件 是什么?
    动力系统打印页面SQL注入漏洞
    留言本谢绝SPAM,防址垃圾留
    动力文章系统漏洞的检测
    动力文章上传漏洞的本地利用
    动力3.51存在严重的文件上传漏洞
    动力(My Power)系统SQL注射漏洞
    MY动力系统3.51常见问题解答汇集(2)
    MY动力系统3.51常见问题解答汇集(1)
    原版动力3.51整合动网7.0SP2详细安装说明!

    本栏目最近更新的图片文章:
    Google

    学习强大的Regsvr32命令

    在一台服务器上实现多个We
    网友评论:(只显示最新10条。评论内容只代表网友观点,请注意礼貌用语,与本站立场无关!)

    ©2005 百姓生活网 www.y8u8.com 琼ICP备13000608号 网站地图