0

我使用开发和预生产 IIS 服务器来发布和测试我们开发的 Web 应用程序。一些道德黑客顾问来警告我们他们在我们的一些服务器中发现的一个漏洞:

http://www.ourserver.com/default_logged.aspx?Dir=http://www.anyexternalsite.com

此漏洞将用户从我们的网站重定向到外部网站,让他们成为网络钓鱼受害者。

我用谷歌搜索了这个漏洞(目录或路径遍历),我发现了这个链接:

https://www.cvedetails.com/cve/CVE-2014-4078/

我按照他们的建议从这个官方 MS 站点安装了一些更新(适用于 Windows Server 2012 R2):

https://technet.microsoft.com/library/security/ms14-076

但是问题仍然存在......如果有人知道它并告诉我如何解决它,我将非常感激。

提前致谢。

4

1 回答 1

0

这不是路径遍历漏洞,通过路径遍历攻击者可以看到您服务器的内部文件。

这是一个开放式重定向,您的网站将用户重定向到另一个网站。

解决方案可能是:

  • 如果您可以避免重定向,请执行此操作。
  • 如果不是,请执行验证以检查重定向是否是您想要发送用户的位置,例如您自己网站的 URL(或另一个受信任的 URL)。
于 2018-02-20T16:32:25.083 回答