当前位置: 首页 > news >正文

.Net-IIS 文件上传安全漏洞问题

  近期勒索病毒、网络攻击频繁。

  经发现攻击会通过 暴露在公网上的系统地址进行扫描,找到文件上传漏洞,把注入了执行文件加密命令的脚本 写入到网站界面文件里。

  通过文件上传方法把文件上传到服务器上(篡改文件类型方式),后通过访问网站界面文件,执行服务器文件加密,比如roxaew 后缀。

 

  文件加密之后一般几种处理方式:报网安或者妥协解密、或者自己重新安装部署系统(可能丢失一些文件数据)。

  

       预防操作:1、公网系统应用和数据库独立服务器。

          2、 公网系统可能的情况下,通过nginx 限源,或者转内网。

          3、增加waf等安全策略,服务器上安装杀毒软件(防止异常脚本执行)

       4、修复软件系统上传方法,不允许匿名登录(做用户身份校验),对文件类型做一步限制,尽量做到防止文件名篡改上传的情况。

       5、IIS禁用文件目录浏览功能,IIS 对文件上传目录做脚本不允许执行的配置。  

image

image

 

http://www.hskmm.com/?act=detail&tid=14536

相关文章:

  • 【F#学习】记录 Record
  • 【光照】[高光反射specular]以UnityURP为例
  • 游戏性能优化与逆向分析技术
  • 使用 feign 调用时对微服务实例进行选择
  • EI目录今年第3次更新!55本中国期刊被收录,附完整版下载
  • 程序员的未来:从技术岗位到全栈思维的进化之路 - 实践
  • envoy和nginx的区别
  • 基于自适应差分进化算法的MATLAB实现
  • 【SPIE出版、主题宽泛、快速检索】2025年可持续发展与数字化转型国际学术会议(SDDT 2025)
  • langfuse使用的postgresql异机备份和恢复(docker)并进行langfuse版本升级
  • 国产化Excel处理组件Spire.XLS教程:Java在 Excel 表格中轻松添加下标
  • tips图解复杂数组、指针声明
  • 通过perl或awk实现剪切功能
  • java列队多种实现方式,
  • Ashampoo Music Studio 12.0.3 音频编辑处理
  • Gitee:本土化代码托管平台如何重塑中国开发者协作生态
  • WEB项目引入druid监控配置
  • Computer Graphics Tutorial
  • CF1874(CF Round 901) 总结
  • 2. Spring AI 快速入门使用 - Rainbow
  • PyCharm 2025.1安装包下载与安装教程
  • 阿里将发布多模态模型 Qwen3-Omni,主打多语言与复杂推理;DeepvBrowser 上线 AI 语音浏览器丨日报
  • Word文档内容批量替换脚本 - wanghongwei
  • VMware ESXi 磁盘置备类型详解
  • EF 数据迁移生成sql脚本
  • HWiNFO 硬件信息检测工具下载与安装教程
  • 第七章 手写数字识别V1
  • 西电PCB设计指南1~2章学习笔记
  • 1. 大模型的选择详细分析 - Rainbow
  • 云计算实践部署笔记