正在加载中...

首页 >> IT服务 >> 安全公告 >> 正文

[2012第118期]WebDAV曝目录写权限漏洞 网站源代码面临泄露风险

[变量] 2012-09-13
  近日,360网站安全检测平台发布紧急安全通告称,应用广泛的通信协议WebDAV存在目录写权限高危漏洞,攻击者可上传任意文本文件,并结合服务器解析漏洞达到上传WebShell的目的,最高可能导致源代码泄露。经360网站安全检测对注册用户的专项扫描发现,存在该漏洞的网站超过2000个,一旦黑客发动大规模攻击,大量网站将损失惨重。    360网站安全检测服务网址:http://webscan.360.cn     据了解,WebDAV(Web-based Distributed Authoring and Versioning)是一种基于 HTTP 1.1协议的通信协议,一般用来发布和管理Web资源,包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV,这也导致该漏洞波及范围较广。事实上,该WebDAV漏洞属于配置缺陷,于数年前就被曝光,但由于部分站长安全意识较为薄弱,所以该漏洞至今仍广泛存在。    经360网站安全检测平台分析,攻击者的目标为使用IIS服务器并启用WebDAV的网站,主要攻击方式为以下四种:
  直接上传文本格式木马文件;修改网站原有文件(如CSS样式文件)实现挂马;通过Move方法上传ASP格式的木马文件;结合IIS6.0文件名解析漏洞,上传xxx.asp;aa.txt木马文件。
1:使用Move命令可上传任意文件2:脚本执行成功,若上传的是木马文件则实现攻击    鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害,360网站安全检测平台已第一时间向旗下用户发送了告警邮件,强烈建议网站管理员禁用WebDAV功能,并定期使用360安全检测服务随时监控网站安全状态。    360网站安全服务    360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:   360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;   360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。



margelida 于2012-08-29 13:49:34 编辑过该帖
上一篇:[2012第119期]“口袋妖怪”真有妖怪! 偷手机流量10万手机中招
下一篇:[2012第117期]360浏览器:返校购票需防钓鱼网站