IIS欢迎页的安全隐患：从源代码到LFI的攻防之道

主要观点总结

文章介绍了一种利用IIS短路径模糊测试寻找漏洞的方法，并详细描述了如何通过深入分析一个开源ChatEngine.svc项目的源代码，发现其中的安全隐患，包括路径遍历（LFI）和可能的SSRF盲注问题。文章还提到了如何加入星球进行交流以及分享给更多朋友。

关键观点总结

关键观点1: 使用IIS短路径模糊测试寻找漏洞

文章介绍了一种利用IIS短路径模糊测试的方法，通过扫描是否存在短路径漏洞来发现潜在的安全问题。

关键观点2: 开源项目ChatEngine.svc的安全性分析

文章以一个开源的ChatEngine.svc项目为例，通过深入研究源代码发现了路径遍历（LFI）的安全隐患，并探讨了可能的SSRF盲注问题。

关键观点3: 交流分享和成员定价

文章提到了加入星球进行交流的方式，并给出了前50位成员和后续会员的定价信息。

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 相信这个页面大家很熟悉吧？看到此类页面，你会怎么做？让我们来看看国外小哥的做法，也许能给你带来一些启发。 首先使用 https://github.com/irsdl/IIS-ShortName-Scanner 进行IIS短路径的模糊测试，看是否存在短路径漏洞。 发现一些文件后，使用ffuf进行进一步的发现，然后就发现了一个EVOLUTION 的目录！ 这个ChatEngine.svc 是开源的吗？经过简单的   搜索 ，发现确实是开源的！ 居然是一个10多年前的开源项目，那它的   安全 性也许就没有那么好了… 深入研究源代码，小哥发现了如下片段： https://github.com/eStream/e ………………………………