NET IIS暴絕對(duì)路徑漏洞

更新時(shí)間：2007年02月09日 00:00:00 作者：

Title:Microsoft ASP.NET May Disclose Web Directory to Remote Users in Certain Cases
Description: If the ASP.NET application does not filter the error message, the web
directory information may be disclosed to remote users by using an unavailable file
which start with "~".
Hi, I'm Soroush Dalili from GrayHatz Security Group(GSG).I found new thing in .NET
Framework Version:1.1 (.ASPX Files).
If error mode in .net configuration is on, Run an unavailable aspx file that start with
"~" can cause showing full path in browsers.
For Example: Http://[URL]/~foo.aspx
------------------------------------------------------------------------
Note:Version 2 have not this bug and it return file does not exist

Vendor URL: www.microsoft.com
Version:1.1
Soloution: Update to version 2 or enable error filtering
Finder: Soroush Dalili
Team: GSG [GrayHatz Security group]
Web: grayhatz.net
Country: Iran
Email: Irsdl[a.t]yahoo[d.o.t]com

搜索引擎 inurl:aspx，然后隨便點(diǎn)個(gè)連接，在url后輸入~fly_ocean.aspx，即可暴出絕對(duì)路徑。

例如:
http://www.fodonline.com/qihuoju/default.aspx~fly_ocean.aspx
用于監(jiān)視的文件名無(wú)效：“D:\aaa\qihuoju\default.aspx~fly_ocean.aspx”。用于監(jiān)視的文件名必須具有絕對(duì)路徑，并且不包含通配符。
版本信息: Microsoft .NET Framework 版本:1.1.4322.2300; ASP.NET 版本:1.1.4322.2300

您可能感興趣的文章:

相關(guān)文章

2004年十大網(wǎng)絡(luò)安全漏洞
2004年十大網(wǎng)絡(luò)安全漏洞...
2006-09-09
查找與清除線程插入式木馬
查找與清除線程插入式木馬...
2006-09-09
如何追蹤入侵者
這篇文章主要介紹了如何追蹤入侵者
2006-10-10
攻擊方式學(xué)習(xí)之SQL注入(SQL Injection)
有些網(wǎng)站將直接拿用戶(hù)的輸入來(lái)拼接SQL語(yǔ)句，進(jìn)行查詢(xún)等操作，同時(shí)也將錯(cuò)誤信息暴露給用戶(hù)。
2008-09-09
詳解XSS 和 CSRF簡(jiǎn)述及預(yù)防措施
這篇文章主要介紹了XSS 和 CSRF簡(jiǎn)述及預(yù)防措施，小編覺(jué)得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
2019-03-03
密碼知識(shí)教程二
這篇文章主要介紹了密碼知識(shí)教程二，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2006-10-10
WEB前端常見(jiàn)受攻擊方式及解決辦法總結(jié)
這篇文章主要介紹了WEB前端常見(jiàn)受攻擊方式及解決辦法總結(jié)，文中講解非常細(xì)致，幫助大家更好的面對(duì)web攻擊，感興趣的朋友可以了解下
2020-07-07
ABAP OPEN SQL注入漏洞防御方法示例
這篇文章主要為大家介紹了ABAP OPEN SQL注入漏洞防御方法示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
2023-11-11
注冊(cè)驗(yàn)證java代碼[針對(duì)上篇文章]
注冊(cè)驗(yàn)證代碼[針對(duì)上篇文章] ,大家可以多參考腳本之家以前發(fā)布的文章。
2009-08-08
Iptables防火墻tcp-flags模塊擴(kuò)展匹配規(guī)則詳解
這篇文章主要為大家介紹了Iptables防火墻tcp-flags模塊擴(kuò)展匹配規(guī)則詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪
2022-08-08