HTTP500解決辦法（常見WEB中間件漏洞）

發布時間：2023-12-05來源：網站建設公司

1.iis6.0 put上傳

iis server 在web服務擴展中開啟了webdav，配置了可以寫入的權限，導致任意文件上傳

2.iis6.0 ,iis7.0（iis7.5）解析漏洞(可配合文件上傳白名單限制)

iis6.0(分號截斷) 例如上傳asp木馬可以通過 x.asp;.jpg來繞過

iis6.0(在以*.asp命名的文件夾下所有的文件都會被解析成asp文件) 例如我們可以控制上傳文件夾，

就可以繞過限制image.asp/x.jpg x.jpg被解析成asp

iis7.0或iis7.5在使FastCGI方式調用php時，在php.ini里設置cgi.fix_pathinfo=1URL時，在URL后面

添加“/x.php”等字符時，該文件被iis當php文件代碼解析

3.iis短文件解析

此漏洞實際是由HTTP請求中的代字符(~)波浪號引起的。它允許遠程攻擊者在Web根目錄下公開文件和文

件夾名稱。攻擊者可以找到通常無法從外部直接訪問的重要文件,并獲取有關應用程序基礎結構的信息

原理：IIS的短文件名機制,可以暴力拆解短文件名,訪問構造的某個存在的短文件名,會返回404,訪問構

造的某個不存在的短文件名,返回400。

4.HTTP.SYS遠程代碼執行 MS15-034 導致系統藍屏或者崩潰

遠程攻擊者可以通過IIS7(或更高版本)服務將惡意的HTTP請求傳遞給HTTP.sys驅動，通過發送惡意的

HTTP請求導致遠程代碼執行或操作系統藍屏。 Windows 7 、 Windows Server 2008 R2 、 Windows

8 、 Windows Server 2012 、 Windows 8.1 和 Windows Server 2012 R2等

5.RCE&

CVE-2017-7269-Win2003_IIS6-直接獲取WEB權限（只適用于iis6.0）

6.apache多后綴名解析漏洞(可配合文件上傳白名單限制)

如果在apache中設置addhandler application/x-httpd-php .php（分布式配置文件）那么，在有多個

后綴的情況下，只要一個文件含有.php后綴的文件即將被識別成PHP文件，不一定是最后一個后綴。利

用這個特性，將會造成一個可以繞過上傳白名單的解析漏洞

7.apache換行解析漏洞（CVE-2017-15715）

其2.4.0~2.4.29版本中存在一個解析漏洞，在解析PHP時，1.php\x0A將被按照PHP后綴進行解析，導致

繞過一些服務器的安全策略。

8.Apache SSI 遠程命令執行漏洞

當目標服務器開啟了SSI與CGI支持,我們就可以上傳shtml,利用語法執行命

令。

使用SSI(Server Side Include)的html文件擴展名，SSI（Server Side Include)，通常稱為"服務器端

嵌入"或者叫"服務器端包含"，是一種類似于ASP的基于服務器的網頁制作技術。默認擴展名是

.stm、.shtm 和 .shtml

9.JBoss 5.x/6.x 反序列化漏洞復現（CVE-2017-12149）

該漏洞為 Java反序列化錯誤類型，存在于 Jboss 的 HttpInvoker 組件中的 ReadOnlyAccessFilter

過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的數據流進行反序列化，從而

導致了漏洞。

影響：Jboss 5.x和 Jboss 6.x

檢測：/invoker/readonly 若顯示HTTP status 500，則說明漏洞可能存在

利用(簡單粗暴，不優雅。)：Jboss反序列化_CVE-2017-12149.jar

修復：升級版本或不需要的http-invoker.sar組件,刪除此組件

下載：

https://github.com/yunxu1/jboss-_CVE-2017-12149

9.1

JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501)

影響：Jboss 4.X

檢測：

/invoker/JMXInvokerServlet訪問若提示下載，則可能存在漏洞。

利用：Jboss反序列化_CVE-2017-12149.jar

修復：升級版本

9.2

案例2-JBoos-弱口令安全-4.X&5.X&6.X

Jboss4.x及其之前的版本 console 管理路徑為/jmx-console/和/web-console/，密碼存

儲：

/opt/jboss/jboss4/server/default/conf/props/jmx-console-users.properties

Jboss5.x開始棄用了 web-console ，增加了admin-console，

Jboss5.x/6.x版本console路徑為/jmx-console/和/admin-console/，

密碼存儲：

jboss/server/default/conf/props/jmx-console-users.properties

9.3

JBoos 4.X 弱口令管理后臺部署war包getshell

CVE-2017-7504啟動環境弱口令：admin/admin

a、訪問：/jmx-console/HtmlAdaptor?

action=inspectMBean&name=jboss.deployment:type=DeploymentScanner,flavor=URL

b、生成war包部署自己服務器上：

http://test.xiaodi8.com/one.war

c、找到void addURL()，在ParamValue填入我們遠程的war包，點擊invoke

d、提示成功后，訪問/one/one.jsp觸發后門

9.4

JBoos 5/6.X 弱口令管理后臺部署war包getshell

CVE-2017-12149啟動環境弱口令：admin/vulhub

a、Applications->Web Application (WAR)s->Add a new resource

b、生成war包，上傳，確定

c、確定添加后，訪問/one/one.jsp觸發后門

9.5

Nginx解析漏洞( 該漏洞與nginx、php版本無關,屬于用戶配置不當造成的解析漏洞)

由于nginx.conf配置導致nginx把以’.php’結尾的文件交給fastcgi處理

9.6

Nginx文件名邏輯漏洞 CVE-2013-4547:

而存在CVE-2013-4547的情況下，我們請求`1.gif[0x20][0x00].php`，這個URI可以匹配上正則`\.php

HTTP500解決辦法（常見WEB中間件漏洞）_深圳搬家搬廠網站建設

當前位置：網站首頁 > 新聞動態 > HTTP500解決辦法（常見WEB中間件漏洞） 返回列表

HTTP500解決辦法（常見WEB中間件漏洞）

發布時間：2023-12-05來源：網站建設公司

，可以進入這個Location塊；但進入后，Nginx卻錯誤地認為請求的文件是`1.gif[0x20]`，就設置其

為`SCRIPT_FILENAME`的值發送給fastcgi。

影響版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

9.7

Tomcat-配置-弱口令&爆破:

Tomcat存在后臺管理，賬號密碼設置在conf/tomcat-users.xml

可能存在的安全問題：弱口令或爆破(爆破采用數據包base64傳遞認證)

9.8

Tomcat-put方法任意文件寫入漏洞：

漏洞本質Tomcat配置了可寫（readonly=false），導致可以往服務器寫文件

9.9

Tomcat AJP 任意文件讀取/包含漏洞：

由于 Tomcat AJP 協議中的一個缺陷，攻擊者可以讀取或包含 Tomcat 的 webapp 目錄中的任何文件。

例如，攻擊者可以讀取 webapp 配置文件或源代碼。此外，如果目標Web應用程序具有文件上傳功能，

攻擊者可以通過Ghostcat(幽靈貓)漏洞利用文件包含在目標主機上執行惡意代碼。

影響版本 Tomcat 6

Tomcat 7系列 <7.0.100

Tomcat 8系列 < 8.5.51

Tomcat 9 系列 <9.0.31

閱讀過此文章的讀者，還閱讀過下面的文章

深圳網站制作好后來年...

 深圳網站制作好后來年到期了該怎么辦，不管是個人還是公司，要想制作好一個網站真的不容易，不僅僅需要做網站前期的規劃和策劃工作，還需要對網站建設的欄目，內容進行填充和建設，面對這一堆的要求和東西，整體還是比較麻煩和費事的，所以，網站建設制作好之后，一定要注意來年的續費問題，好多公司不注意這個問題，造成了網站后期打不開了，不能正常方面了，出現了問題才想起來網站沒有續費，接下來我們來看看深圳網絡公司是如何建議的。 1.域名到期的影響  一般情況下，網站域名需要一年進行一次續費，也可以一次購買多年，如果域名到期沒有及時續費，網站就會打不開，域名續費期一般是一個月，過了這個時間就會進入贖回期，這時候就不能續費了。  2.服務器到期的影響  服務器到期與域名一樣，到期后網站同樣不能打開，如果之前網站在做推廣，會直接影響展現效果，長時間不續費的話，網站數據就會全部刪除了，之前的努力就全白做了。  3.網站維護服務到期  有些網絡公司服務商會有網站維護費用，一般都是一年為一個期限，如果到期后您沒有及時維護，網站出現問題后就不會有人給您維護，就會造成影響。影響最大的就是網站展現的效果。
深圳做網站公司做網站...

 深圳做網站公司做網站時要明白這些。其實做網站有的時候不僅僅是在做網站，更多的是在幫助其他公司在做網絡宣傳門戶，站在這個角度上你就知道你所承擔的責任了，作為現在公司網站建設不僅要符合時代潮流，更多的需要緊扣時代網頁設計特色和要求，只有這樣制作設計出來的網站才能更好的滿足現在人們的使用要求和觀念的，不管是在網站設計理念，網站布局規劃，以及網站內容建設等等，這些方面都需要進口時代主題和要求的，接下來我們來看看深圳網站制作公司是如何做的，需要做好那些方面的要求和規范呢？ 審美在變，網站設計要緊跟潮流 也許用戶訪問時，不會逐一閱讀網站內容，但首先映入眼簾的一定是設計。也許網站在幾年前設計制作的確實很漂亮，但是我們無法否認的事實是，用戶對網站設計的審美一直在不斷改變。這個比較容易對比，隨便找一個行業，然后通過百度搜索到十家網站，分別對應年份和網站的網址，讓一個不知情的人去逐一打開并評判感受。大體趨勢是越是新近設計制作的網站，越容易贏得用戶的接受承認。其實這就是用戶的真實感受，每年快速改版重做對于很多公司來說有些壓力，但是筆者認為一般而言網站2-3年是需要重新設計制作快速的。一個通過網站尋找供應商的用戶，其瀏覽網站一般也就幾十秒到幾分鐘時間，先進的網站設計效果是吸引其深入了解進而咨詢的較好方法。 技術在變，網站制作要貼合需求 周圍的一切都在發生著巨變，網站技術也是如此，此前被很多網站公司采用的ASP網站開發語言幾乎已經沒人使用，相對于傳統的PC端網站，現在更多看重的是移動端，公司設計制作的網站現在多為自適應PC端、PAD端以及手持移動終端的響應式網站。誰也不知道網站技術會走向哪個方向，但是對于普通的企業而言，我們可以把握趨勢，至少每隔兩三年對網站重新快速設計制作。 企業在變，網站建設要適應發展 網站總是為企業服務的，換句話說就是網站的設計制作需要跟上企業的發展步伐。現在急劇變化的市場面前，如果想立于不敗之地，企業的經營策略一定在不斷調整優化。作為給企業發展提供服務的網站，其理應不斷調整不斷優化以適應公司需求。現在是互聯網時代，用戶了解公司更多的也是通過網絡，網站不僅是營銷的工具，更是企業品牌形象的展示窗口。由于人力成本的不斷升高，而網站設計更多的需要技術人員手工完成，所以真正定制開發的網站都價格不菲。但是同樣是網站建設公司網站改版也不一定就選擇定制，如果有合適的模板網站，也是不做的選擇。我們需要的是一個緊跟時代和用戶需求的網站，而非一定采用哪種方式實現它。
英文網站制作需要注意...

英文網站制作需要注意那些問題和事項。英文網站制作還是跟中文網站制作有比較大的區別的，應為中文網站面對的客戶群體是國內的用戶，而國內的用戶對網站的使用習慣，要求都是跟國外不一樣的，從而在制作英文網站的時候，一定要注意，像這種英文網站制作還是需要從國外人使用網站的習慣，使用網站的一些喜好出發，只有這樣制作出來的網站滿足國外人的使用的，這是一個方面，另外一個方面就是國外網站面對的搜索引擎，也是不一樣的，國外的搜索引擎跟國內有著比較大的區別的，搜索引擎也是制作英文網站必須要考慮的一個方面了，最后就是網站制作價格方面了，一般英文網站制作價格要比國內的網站制作價格高一些，這是一定的，畢竟國外網站制作的細節要求，以及針對搜索引擎優化方面還是有比較高的要求的，所以，這些都是工作量，也都是需要處理好這些方面的細節工作的。
網站設計公司的發展趨...

 網站設計公司的發展趨勢詳解，目前網頁設計公司慢慢的轉型升級成為一種綜合性的設計公司了，不僅僅是在網站設計了，如果單純的依賴于網站設計，對于這樣的公司來說現在還是很被動的，并且目前的網站制作價格已經白熱化了，競爭也是很大的情況下，好多公司已經賺不到什么錢了，面對這樣的市場形式，作為網站設計公司要不斷的擴大和嘗試新的方式和方法，實現公司業務的升級和轉型，這也是擺在深圳<a href="http://www.szbc888.com" target="_blank">網站制作公司</a>面對不可逾越的一個問題了，畢竟現在網站制作公司的活量不大，如果養一個專業的網頁設計技術團隊專門作網站，根本養活不了這樣的公司的發展了，更多的還需要通過其他的渠道，其他的平臺上獲得更為有質量的客戶，這也是當下網站制作公司不得不面對的一個話題了。 <img src="static/picture/20231030113846_47114.jpg" alt="" /> <a href="http://www.szbc888.com" target="_blank">網頁設計公司</a>業務范圍擴大，于是著這個網站制作行業市場需求量在逐漸的縮小，并且凡是使用到網站的多半集中在一些公司，單位方面的需求了，對于一些個人對網站的需求還是很少的，除非一些專業化路線的個人才會這樣做的，網站設計公司的轉型升級，不僅提升的服務質量，更多的將服務方位不斷的擴大，從而得到更好的市場群體，能夠為更多的市場客戶服務。
網站制作低價格策略已...

 網站制作低價格策略已經成為網站制作行業的殺手锏，整個大環境不好的情況下，好多公司在制作網站的時候，已經在想盡辦法降低網站制作的成本了，從當初的網站制作就直接去搜索引擎上搜索網站制作公司了，而如今制作網站已經發生變化了，從搜索引擎走向了淘寶，拼多多這些低價平臺了，并且這些平臺都是擔保交易了，好多的需要<a href="http://www.szbc888.com" target="_blank">制作公司網站</a>的商家慢慢轉向這個方面來了，所以制作出來的網站不是模板的就是仿制的網站，價格的確很低，并且效率也是很高的，這也是聰明的用戶慢慢的轉型和變化了，如果這些模板網站放在搜索引擎來的客戶的話，這些網站制作下來的費用基本上在好幾千了，面對這樣的市場轉型和升級，這也讓好多網站制作公司尋找不同的出路了。 <img src="static/picture/20231030113212_16069.jpg" alt="" /> <a href="http://www.szbc888.com" target="_blank">深圳網站制作</a>的價格的確沒有那么低，但是作為一些低價平臺上的用戶，他們為了爭取到客戶，低價引流，從而實現了低價格制作網站的形式，作為網站制作公司，你這樣低價格去做的目的就只有一個，那就是辛苦轉不到錢的，都是轉一些辛苦錢而已，面對這樣的市場形式和要求，作為網站制作公司一定要不斷的提升網站制作的附加值，提升<a href="http://www.szbc888.com" target="_blank">網站制作</a>的質量，讓用戶以質量取勝，不能專門走低價格戰略，不然你的公司是發展不起來的，也作不大的，作為用戶而已，你公司小還可以這樣去做，如果公司發展到一定程度的去制作網站，這對于你的公司來說是滅頂之災了，所以選擇網站制作公司還是要從專業的角度出發去幫助客戶解決實際的問題，從而實現網站制作公司的價值和效益。
深圳網站定制開發全流...

 深圳網站定制開發全流程詳解，作為網站定制開發公司接下來給大家普及一下網站定制究竟要經過那些過程呢，前期的網站溝通肯定是少不了的，除此之外，網站備案這塊也是需要的，只要是正規的公司，正常的流程，網站備案也是需要做的，剩下的就是網站制作過程中的一些溝通了，接下來我們來看看<a href="http://www.szbc888.com" target="_blank">深圳網站制作</a>公司的一個標準的流程。 需求分析：通過對客戶業務的了解和與客戶對流程的討論對需求進行基本建模，最終形成需求規格說明書 總體設計：通過分析需求信息，對系統的外部條件及內部業務需求進行抽象建模，最終形成概要設計說明文檔 詳細設計：此部分在對需求和概要設計的基礎上進行系統的詳細設計（也包含部分代碼說明） 開發編程：對系統進行代碼編寫 測試分析與系統整合：對所有功能模塊進行模擬數據測試及其它相關性測試并整合所有模塊功能 現場支持：系統上線試運行進行現場問題記錄、解答 系統運行支持：系統正式推產后，對系統進行必要的維護和BUG修改