日本h无遮挡动漫在线看_欧美真人淫在线观看_亚洲成在人线a免费_av不卡无码高清在线观看

目錄
目錄X

【公告】發(fā)現(xiàn)嚴(yán)重安全漏洞、補(bǔ)丁及解決方法

漏洞現(xiàn)象:黑客可以利用漏洞上傳木馬程序到網(wǎng)站,然后利用木馬進(jìn)一步取得網(wǎng)站控制權(quán)。

安全等級(jí):嚴(yán)重

受影響版本:動(dòng)力/動(dòng)易所有版本

漏洞分析:
因上傳文件在設(shè)計(jì)上存在著一處考慮不周的情況,使用黑客可以通過自己構(gòu)造上傳文件表單進(jìn)行提交上傳數(shù)據(jù),然后上傳擴(kuò)展名為.cer的文件(此文件也是通過asp.dll)來解析。

解決方法:
1、檢查網(wǎng)站目錄中是否存在擴(kuò)展名為.cer.cdx的文件,若有,立即刪除。
2、在網(wǎng)站屬性中刪除全部映射,只留下.asp.asa兩個(gè)映射。特別要?jiǎng)h除.cer的映射(可選)。
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp這幾個(gè)有關(guān)上傳的文件,找到如下這行:
動(dòng)易用戶:
for each FormName in objUpload.file '列出所有上傳了的文件
動(dòng)力用戶:
for each formName in upload.file '列出所有上傳了的文件
在這一行下加上如下這一行代碼:
EnableUpload=False
即可?;蛘呦螺d我們提供的補(bǔ)丁,覆蓋原文件。
4、最好檢查一下網(wǎng)站中的所有文件。如果是自己的服務(wù)器,請(qǐng)?jiān)贆z查是否已經(jīng)上傳了其他木馬程序。

補(bǔ)丁下載:
===============================
動(dòng)易用戶: http://www.costablancaproholidays.com/download/patch4x.rar 動(dòng)力用戶: http://www.costablancaproholidays.com/download/patch3x.rar
===============================

【打印正文】 發(fā)布時(shí)間:2004-05-20 14:29:00 瀏覽次數(shù): 作者:雅虎 來源:本站原創(chuàng)
×

用戶登錄