IIS 存在的一些暴力破解威胁.htr程序

存在的一些暴力破解威胁.htr程序

IIS4.0中包含一个严重漏洞就是允许远程用户攻击WEB服务器上的用户帐号，就是你的WEB服务器是通过NAT来转换地址的，还可以被攻击。每个IIS4.0安装的时候建立一个虚拟目录/iisadmpwd，这个目录包含多个.htr文件，匿名用户允许访问这些文件，这些文件刚好没有规定只限制在loopback addr(127.0.0.1)，请求这些文件就跳出对话框让你通过WEB来修改用户的帐号和密码。这个目录物理映射在下面的目录下：c:\winnt\system32\inetsrv\iisadmpwdAchg.htrAexp.htrAexp2.htrAexp2b.htrAexp3.htrAexp4.htrAexp4b.htrAnot.htrAnot3.htr这样，攻击者可以通过暴力来猜测你的密码。如果你没有使用这个服务，请立即删除这个目录。