今天同事在http://www.wooyun.org网站上发现了我们公司网站的一个webshell安全漏洞。居然就在自己的系统上。虽然是从前人手中接过来的系统。
其实这个漏洞很简单:
就是可以向服务器上传非图片后缀名的webshell文件(一般是用来上传图片的),并可以在WEB站点上找到这个文件,并且IIS上允许在这个上传文件的目录上跑脚本。应该是前面的开发人员+SA都泛了错。
1、开发人员要注意的是程序中要对可上传的文件名后缀进行check,还要检查实际的mimetype,最好对上传文件重命名,存到iis程序目录之外的地方。
2、SA在配置IIS时,要对所有有上传文件的站点或目录设置无脚本执行权限。
