屏蔽iisspy及iis6.0解析bug

【导语】以下是小编收集整理的屏蔽iisspy及iis6.0解析bug（共4篇），仅供参考，欢迎大家阅读。

篇1：屏蔽iisspy及iis6.0解析bug

RainyFox

如果你的服务器支持.NET那就要注意了，aspxspy的网页有个功能叫：IIS Spy，点击以后可以看到所有站点所在的物理路径，一般设置单用户权限即可屏蔽，但是有时不管事，仔细看看他的利用方法，不过如此，我们也可以做如下简单设置:

“%SystemRoot%/ServicePackFiles/i386/activeds.dll

“%SystemRoot%/system32/activeds.dll

“%SystemRoot%/system32/activeds.tlb

搜索这两个文件，把USER组和POWERS组去掉，只保留administrators和system权限..如果还有其它组请全部去掉..这样就能防止这种木马列出所有站点的物理路径..，

针对iis6.0的解析bug:

解决方法：

一、能上传的目录给IIS不允许执行脚本的权限。

二、利用其它带文件防护功能的软件防止*.asp;*.jpg写入文件。

三、所有目录允许读取，只要是写入的文件夹在IIS里请将脚本改为无。如果没有服务器的朋友，那被传马那也没办法了，除非你可以协调空间商帮你做这些操作..

篇2：关于屏蔽双绞线的热点问题解析

屏蔽与非屏蔽布线系统孰优孰劣，一直是综合布线领域的热点话题，在10G应用出现之前，欧洲用户更多使用屏蔽布线系统，而北美用户更多使用非屏蔽布线系统。

根据屏蔽方式的不同，屏蔽双绞线又分为两类，即STP(ShieldedTwisted-Pair)和FTP(FoilTwisted-Pair)。 STP是指每条线都有各自屏蔽层的屏蔽双绞线，而FTP则是采用整体屏蔽的屏蔽双绞线需要注意的是，屏蔽只在整个电缆均有屏蔽装置，并且两端正确接地的情况下才起作用。所以，要求整个系统全部是屏蔽器件，包括电缆、插座、水晶头和配线架等，同时建筑物需要有良好的地线系统。从电磁兼容性观点来看，S/FTP电缆由于采用金属编织网和金属箔屏蔽层相结合的方法来抵御外界电磁干扰(EMI)或射频干扰(RFI)的影响，能够完全消除线外串扰 (AXT)。

F/UTP电缆和S/FTP电缆的传输性能差异

从电磁兼容性观点来看，S/FTP电缆由于采用金属编织网和金属箔屏蔽层相结合的方法来抵御外界电磁干扰(EMI)或射频干扰(RFI)的影响，能够完全消除线外串扰(AXT)。另外从信道传输能力的观点来看，在同样带宽的情况下，S/FTP电缆能够提供更高的信噪比(SNR)，从而可以提供更高信道传输容量，因此S/FTP电缆是高速网络应用中更为理想的解决方案。

屏蔽电缆的抗干扰能力

从布线系统耦合衰减的指标分析，对绞电缆的对绞电缆对与各种电缆屏蔽方式的抗电磁干扰的能力大约以20～30dB的量增递。其中：铝箔屏蔽对绞电缆 (F/UTP)为85dB，丝网/铝箔双重屏蔽对绞电缆(SF/UTP)为90dB，丝网总屏蔽/铝箔线对屏蔽对绞电缆(S/FTP)为95dB。

屏蔽电缆的误码率信息

根据相关资料，国外曾经做过铝箔屏蔽对绞电缆(F/UTP)的误码率测试。如果屏蔽层不接地或没有做到良好的接地时，在一定的条件下会增加网络传输的信息产生误码率的概率。其结果将会达到约30%。

当布线系统采用的是屏蔽6A类系统时，现场不需要测试线外串扰

屏蔽系统采用金属屏蔽层能够完全消除线外串扰(AXT)，即提供足够高的线外串扰(AXT)余量，如果采用屏蔽6A类(Cat.6A)布线系统，现场施工不需要测试线外串扰(AXT)，仅需要测试信道内的电气性能参数，

由于测试过程复杂、测试时间长、仪表昂贵，建议只在排查疑难故障或十分必要时测试。

非屏蔽对绞电缆采用的制造工艺已可实现平衡传输，但不足以抑制外界干扰

对绞电缆的线对传输带宽超过30MHZ时，非屏蔽对绞电缆易受到外部电磁干扰的影响和产生信息的泄露。如果电缆在安装过程中施工操作不规范，电缆线对物理结构发生变化，例如被拉长或压扁，上述现象将更加严重。

商业建筑中仍需考虑信息泄密

综合布线系统用于高速率传输。由于对绞电缆的平衡度公差等硬件原因，也可能造成传输信号向空间辐射，也就存在着信息在无意识中泄密的可能。在同一大厦内，很可能存在不同的单位或部门。因此，在设计时应根据用户要求，除了考虑电磁干扰外，还应该考虑防电磁辐射的要求。这是一个问题的两个方面，采取屏蔽措施后，两者都能得以解决。

屏蔽布线系统接地仅需在配线架端接地

应在电信间对配线箱或配线柜作等电位联结，工作区屏蔽信息插座本身则不作接地。但是为了实现屏蔽两端接地，在工作区通过屏蔽信息插座和屏蔽跳线屏蔽层与网络设备的屏蔽层互通。当设备将电源线插入电源插座时，自然而然地通过保护导体(PE)实现接地。

屏蔽布线系统如果没有接地，抗干扰能力仍优于非屏蔽布线系统

根据第三方测试实验室的测试数据表明：在正常良好接地情况下，屏蔽系统抵制外界耦合噪音的能力是非屏蔽系统的100-1000倍，即使在屏蔽层没有接地或接地不良的情况下，屏蔽布线系统抵御能力仍然可为非屏蔽布线系统的10倍以上。

当布线系统已经接地时，仍需要达到等电位联结要求

只有接地，没有做到等电位联结是不安全的，接地系统必须具有等电位联结。等电位联结是为了减少不同接地系统之间的电压差。尤其对於电子信息网络，它能够改善电磁兼容性性能。等电位联结适用于各类布线系统。

屏蔽布线工程中的“接地”并非特指将干扰信号泄放到“地球”

屏蔽布线工程中的“接地”，如果目的在于提高电磁兼容性，应理解为将屏蔽层纳入等电位联结系统中;如果涉及防雷保护，则应理解为接入地球本身。试想，飞行中的飞机、火箭、卫星、空间站等，其内部的布线系统是无法接入大地的，但都能有很好的电磁兼容性，就是因为其内部有可靠的等电位联结。

屏蔽布线系统信道测试通过连通性检查，并不意味着屏蔽层没有故障

配线架端口屏蔽层通过机架连通后，“信道”的屏蔽层连通性测试无法发现工程中使用了UTP跳线或跳线屏蔽层受损或开路。所以，屏蔽布线系统更加强调的测试为“永久链路”连接模型的测试。工程中应选用合格的屏蔽跳线，如果对屏蔽跳线有疑问，可以单独对屏蔽跳线进行验证。

检查有2个方法：其一是购买合格的跳线，产品质量由厂商保证，这是工程中最常用的方法;其二是在工程中对每根跳线进行屏蔽层测试，这将大大增加施工队的工作量和工程费用。从工程角度看，前者有合同保证，后者只有在对跳线产生怀疑时才会使用。因此在产品品质有保障时，没有必要再对信道作屏蔽层的导通测试。

篇3：桃源网络硬盘&IIS6.0解析漏洞及修复漏洞预警

IIS6.0文件名解析漏洞，只要在使用IIS6.0的桃源网络硬盘上传一个php木马:123;asp;123.jpg，

然后通过show.aspx?type=1&filepath=www.badguest/的方法取文件路径，

最后执行，即可，

桃源网络硬盘&IIS6.0解析漏洞及修复漏洞预警

，

修复：常见问题了，不用说了

篇4：防盗链系统修复IIS6.0解析漏洞技巧WEB安全

网站要真正做好安全，涉及的东西太广了，主要是因为渗透的途径太多了，呵呵……咱这次不讲那么多，发现网上貌似没什么人说道关于IIS6.0

解析漏洞的修补方法，刚好在渗透一个站的时候遇到了这个问题，搭建了环境测试了下，顺便就想起了写这个文章了，进主题吧，IIS6.0的解析

漏洞大家都清楚，这里用asp作说明，比如 seay.asp;.jpg 或者seay.asp;asp之类的，呵呵……就不说那么多了，这样都是以asp解析的，那么比

如这么一个URL：seay.sinaapp/seay.asp;.jpg 那么实际上，还是一个以jpg为扩展名的文件，在渗透的时候，我们需要访问

seay.sinaapp/seay.asp;.jpg这个URL来执行我们的shell，那么，我们来想一个办法，让所有为jpg扩展名的文件，都不能在地址栏

直接访问，就相当于文件防止下载（扯到主题了），那么我们可以用到一个很实用的工具：IISColander，这是一个防盗链小程序，用法很简单，看截图吧

很清晰明朗了，把我们要禁止在浏览器上直接访问的文件扩展名添加上去，开启就OK了，这样再访问seay.sinaapp/seay.asp;.jpg 的话，是不会解析出来的，利用防盗链来修补这个功能，还是很不错的，当然还有很多方法，比如说目录禁止脚本执行啊什么的，

防盗链系统修复IIS6.0解析漏洞技巧WEB安全

，

呵呵……只是说下这个思路而已，还有几个功能大家就自己去看吧，比如检测非法文件等等，这个防盗链的我传网盘去吧，这是下载地址pan.baidu/netdisk/singlepublic?fid=486051_1625278183

不放心的就自己去网上下载吧。

原创小文章，来自Seay’s blog