我们的测试环境是在用户配置微软的()和()时,如果配置不当,将可能导致攻击者利用IIS的上传功能,上传WebShell,然后进行提权,从而实现对网站服务器的控制。
IIS6.0IIS7.0
举一反三
- IIS上传的漏洞,首先要安装IIS并配置成Web服务器。
- 当系统存在文件上传漏洞时攻击者可以将病毒,木马,WebShell,其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件将对攻击者后续攻击提供便利。
- 【单选题】对于文件上传漏洞攻击防范,以下选项错误的是() A: 检查服务器是否判断了上传文件类型及后缀。 B: 定义上传文件类型白名单,即只允许白名单里面类型的文件上传。 C: 文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击。 D: 关闭上传功能
- 如果某个网站允许用户能上传任意类型的文件,黑客最可能进行的攻击是()。 A: 拒绝服务攻击 B: 口令破解 C: 文件上传漏洞攻击 D: SQL注入攻击
- 只要在 vsftpd的主配置文件中配置允许匿名用户上传权限,就能使匿名用户上传文件到FTP服务器
内容
- 0
如果某个网站允许用户能上传任意类型的文件,黑客最可能进行的攻击是(C)。 A: 口令破解 B: 拒绝服务攻击 C: 文件上传漏洞攻击 D: SQL注入攻击
- 1
文件上传漏洞产生的原因是什么?( ) A: WEB应用开放的文件上传功能,并对文件上传功能没有足够的限制 B: 程序开发部署的时候没有考虑到系统的特性和过滤不严格 C: 利用文件上传漏洞进行Cookie欺骗 D: 攻击者通过WEB服务器解析漏洞绕过限制,导致可以任意上传文件
- 2
有一台运行 Windows Server 2008的服务器。服务器上安装了Web服务器(IIS)服务器角色以及所有 Web 服务器角色服务。您需要为用户提供管理网站的能力。应配置哪项功能?() A: Net角色 B: Net用户 C: 身份验证 D: IIS 管理器权限
- 3
入侵者利用文件上传漏洞,一般会有哪些操作步骤? A: 入侵者利用搜索引擎或专用工具,寻找具备文件上传漏洞的网站或者web应用系统 B: 注册用户,获得文件上传权限和上传入口 C: 利用漏洞,上传恶意脚本文件 D: 通过浏览器访问上传的恶意脚本文件,使恶意文件被IIS、Apache、Tomcat等WEB解析器执行,并根据恶意脚本文件提供的功能,实施下一步攻击
- 4
在配置FTP时,anon_upload_enable配置项用于设置() A: 所有用户上传权限 B: 用户下载权限 C: 匿名用户上传权限 D: 匿名用户下载权限