WebDAV曝目录写权限漏洞
据了解,WebDAV(Web-based Distributed Authoring and Versioning)是一种基于 HTTP 1.1协议的通信协议,一般用来发布和管理Web资源,包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV,这 也导致该漏洞波及范围较广。事实上,该WebDAV漏洞属于配置缺陷,于数年前就被曝光,但由于部分站长安全意识较为薄弱,所以该漏洞至今仍广泛存在。
攻击者的目标为使用IIS服务器并启用WebDAV的网站,主要攻击方式为以下四种:
1、直接上传文本格式木马文件;
2、修改网站原有文件(如CSS样式文件)实现挂马;
3、通过Move方法上传ASP格式的木马文件;
4、结合IIS6.0文件名解析漏洞,上传xxx.asp;aa.txt木马文件。
图1:使用Move命令可上传任意文件
图2:脚本执行成功,若上传的是木马文件则实现攻击
鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害,360网站安全检测平台已第一时间向旗下用户发送了告警邮件,强烈建议网站管理员禁用WebDAV功能,并定期使用360安全检测服务随时监控网站安全状态。
摘自中国云安网(www.yunsec.net) 原文:http://www.yunsec.net/a/security/bugs/other/2012/0907/11367.html
美国VPS综合讨论
