近日，360网站安全检测平台发布紧急安全通告称，应用广泛的通信协议WebDAV存在目录写权限高危漏洞，攻击者可上传任意文本文件，并结合服务器解析漏洞达到上传WebShell的目的，最高可能导致源代码泄露。经360网站安全检测的取样分析和研究，预估全国范围内接近60,000网站存在此漏洞，一旦黑客发动大规模攻击，大量网站将损失惨重。

　　IT技术网了解，WebDAV(Web-basedDistributedAuthoringandVersioning)是一种基于HTTP1.1协议的通信协议，一般用来发布和管理Web资源，包括Win2000/XP、IE、Office以及Dreamweaver均支持WebDAV，这也导致该漏洞波及范围较广。事实上，该WebDAV漏洞属于配置缺陷，于数年前就被曝光，但由于部分站长安全意识较为薄弱，所以该漏洞至今仍广泛存在。

　　经360网站安全检测平台分析，攻击者的目标为使用IIS服务器并启用WebDAV的网站，主要攻击方式为以下四种：

　　1、直接上传文本格式木马文件;

　　2、修改网站原有文件(如CSS样式文件)实现挂马;

　　3、通过Move方法上传ASP格式的木马文件;

　　4、结合IIS6.0文件名解析漏洞，上传xxx.asp;aa.txt木马文件。

　　图1：使用Move命令可上传任意文件

　　图2：脚本执行成功，若上传的是木马文件则实现攻击

　　鉴于WebDAV漏洞的广泛影响和可能对网站造成的致命危害，360网站安全检测平台已第一时间向旗下用户发送了告警邮件，强烈建议网站管理员禁用WebDAV功能，并定期使用360安全检测服务随时监控网站安全状态。

　　360网站安全服务

　　360为站长提供免费的网站安全解决方案，包括360网站安全检测平台和360网站卫士：

　　360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞;

　　360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。孕育之家小编分享-www.yunyuhome.com

　　推荐阅读

　　谷歌发现育碧uPlay安全漏洞

谷歌安全工程师Tavis Ormandy发现在育碧公司uPlay数字版权管理(DRM)存在潜在的rootkit漏洞。uPlay和育碧游戏捆绑游戏，如《刺客信条》系列和汤姆克兰西的《幽灵行动》系列，以保护作品被盗版。 Tavis Ormandy表示，>>>详细阅读

本文标题：WebDAV曝目录写权限漏洞 网站源代码面临泄露风险

地址：http://www.17bianji.com/anquan/buding/12124.html

 1/2    1