动态网站制作指南 [  QQ表情  ]
[ 投票调查 ]
[ 企业邮箱 ]
[ 网站空间 ]
网站首页 | 网站学院 | 源码下载 | 软件下载 | 字体下载 | 图片素材 | 电脑书籍 | 网页模版 | 网站欣赏 | 小游戏 | 博客联播
网络编程 | 站长之家 | 网页制作 | 图形图象 | 操作系统 | 冲浪宝典 | 软件教学 | 网络办公 | 邮件系统 | 网络安全 | 认证考试 | 系统进程
ASP源码 | .Net源码 | PHP源码 | JSP源码 | JAVA源码 | CGI源码 | VB源码 | C++源码 | Delphi源码 | PB源码 | VF源码 | 汇编 | 服务器
Firefox | IE | Maxthon | 迅雷 | 电驴 | BitComet | FlashGet | QQ | QQ空间 | Vista | 输入法 | Ghost | Word | Excel | wps | Powerpoint
asp | .net | php | jsp | Sql | c# | Ajax | xml | Dreamweaver | FrontPages | Javascript | css | photoshop | fireworks | Flash | Cad | Discuz!
当前位置 > 网站建设学院 > 网络编程 > ASP技巧
Tag:注入,存储过程,分页,安全,优化,xmlhttp,fso,jmail,application,session,防盗链,stream,无组件,组件,md5,乱码,缓存,加密,验证码,算法,cookies,ubb,正则表达式,水印,索引,日志,压缩,base64,url重写,上传,控件,Web.config,JDBC,函数,内存,PDF,迁移,结构,破解,编译,配置,进程,分词,IIS,Apache,Tomcat,phpmyadmin,Gzip,触发器,socket
网络编程:ASP教程,ASP.NET教程,PHP教程,JSP教程,C#教程,数据库,XML教程,Ajax,Java,Perl,Shell,VB教程,Delphi,C/C++教程,软件工程,J2EE/J2ME,移动开发
文章搜索服务
邮件订阅
输入你的邮件地址,
你将不会错过任何关于:
[ ASP技巧 ]的信息

本月文章推荐
.如何实现动态添加Html文档中Form.
.将半角"转换为中文"的.
.ASP注册表项目修改.
.session的用法具体解说.
.ASP环境下邮件列表功能的实现 (.
.ASP如何获得代码中第一张图片地址.
.如何使用JavaScript来写ASP程序.
.净化网络环境 ASP程序实现过滤脏.
.在ASP中使用Oracle数据库技巧.
.用RecordSet实现分页(by Daniel .
.remote script文档(转载自微软)(.
.不用EOF以加快记录循环.
.ASP文件中的安全问题.
.改进的ASP备份SQL Server数据库.
.用VB生成DLL封装ASP代码,连接数.
.一条sql 语句搞定数据库分页.
.ASP无组件BMP汉字生成类+汉字点阵.
.ASP主件中的安全问题.
.如何用ASP创建日志文件.
.session变量中的数组如何引用.

微软dvwssr.dll后门

发表日期:2000-4-22 |

涉及程序:
MS IIS server/Frontpage Ext Server
描述
微软开发的两个动态库存在后门允许用户查看ASP文件源程序和下载整个网站
详细
随IIS和Frontpage Extention server而来的动态库程序,存在后门,允许用户远程读取
asp、asa和CGI程序的源代码。但这个动态库要求有密码,这个后门的密码是: "Netsc
ape engineers are weenies!"
程序路径为: /_vti_bin/_vti_aut/dvwssr.dll
一般安装了 Frontpage98的 IIS服务器都有这个路径和文件。
这个程序要求解码后才能发挥读取asp等源程序的功能,有趣的是,这个密码正是嘲弄其
竞争对手Netscape的。
我们提供一个有该漏洞的国外网站给安全技术人员参考:
http://62.236.90.195
其网站上有一个ASP程序 : http://62.236.90.195/cqsdoc/showcode.asp
关于读取源程序,请下载这个测试程序,用法为:
[john@Linux john]$ ./dvwssr1.pl 62.236.90.195 /cqsdoc/showcode.asp
国内有很多网站都有这个漏洞,请管理员尽快更正!
另外, dvwssr.dll还存在缓冲溢出,容易被DOS攻击,对于这个缓冲溢出的漏洞,可能能
利用远程执行指令,但目前没有可用的exploit出来。
有一个DOS的脚本:
#!/usr/bin/perl
print "GET /_vti_bin/_vti_aut/dvwssr.dll?";
print "a" x 5000;
print " HTTP/1.1\nHost: yourhost\n\n";
另注:对该漏洞的说法,发现者、bugtraq和微软都有不同的版本
微软不认为这是后门,但有咬文嚼字之嫌。
参见:
http://www.microsoft.com/technet/security/bulletin/fq00-025.asp
这个漏洞的实质是一个字符串,就是我们前面提到的 "Netscape engineers are weeni
es!"
只要知道这个字符串,和了解相关的算法,就可以获得ASP等程序的源码。
我们已经做了大量测试,证实的确有效。
解决方案
删除 dvwssr.dll
安装 Office 2000 Server Exten
上一篇:通过asp入侵web server,窃取文件毁坏系统 人气:11478
下一篇:使用ASP加密算法加密你的数据(一) 人气:15157
浏览全部dvwssr.dll后门的内容 Dreamweaver插件下载 常用网页广告代码全集
  最新网站源码 最新软件下载
2008-11-18 bbclone v0.4.9c 多国语言版
2008-11-18 雪晖在线投票系统 (asp) Build 2
2008-11-18 Piwik ( PHP统计系统,可以和GOOG
2008-11-18 SonsinCMS v1.0 bulid 081117
2008-11-18 局域网影视系统 v3.0
2008-11-18 麦布自动链 v1.0
2008-11-18 HiASPCMS 内容管理系统 v0.05
2008-11-18 仿百度留言簿控件 v1.0
2008-11-18 Btplus v0.1 FOR 马克斯1.5
 2008-11-15 BitTorrent 6.1.2 Build 13185
2008-11-15 BitComet 1.06
2008-11-15 SpeedFan 4.36 Final
2008-11-15 Windows Installer CleanUp Util
2008-11-15 Safari 3.2
2008-11-15 RealPlayer 11.0.0.835 简体中文
2008-11-15 QQ for Mac Preview 3 Build 394
2008-11-15 Vista优化大师3.20
2008-11-15 酷点 CoolDock 0.6
  发表评论
姓 名: 验证码:
内 容:
站长工具:网站收录查询 | Google PR查询 | ALEXA排名查询 | CSS在线编辑器 | 广告代码 | js/vbs加密 | md5加密 | 进制转换 | UTF-8 转换工具 | Html转换js | Html转换asp | Html转换php | Html转换perl
实用工具:汉字翻译拼音 | 拼音字典 | 符号对照表 | 个税计算 | 实时汇率查询换算 | 经典小工具 | 汉字简繁转换 | 普通单位换算 | 公制单位换算 | 生辰老黄历 | 国内电话区号 | 国家代码与域名缩写 | 文字加密解密 | 健康查询 | 万年历 | 汉字横竖排版 | 手机号码查询 | 计算器 | ip搜索
业务联系 | 广告刊登 | 频道合作 | 投稿荐稿 | 联系方式 | 加入收藏 | RSS订阅
Copyright © 2000-2008 www.knowsky.com All rights reserved | 网络实名:动态网站制作指南 | 沪ICP备05001343号
ホームページ制作 不動産検索システム 求人情報
防水工事·改修工事 フットサル大会 探偵
SEO対策 中国語教室 ホームページ作成