专栏名称: 骨哥说事
关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。
今天看啥  ›  专栏  ›  骨哥说事

IIS欢迎页的安全隐患:从源代码到LFI的攻防之道

骨哥说事  · 公众号  · 互联网安全  · 2024-09-02 09:35

主要观点总结

文章介绍了一种利用IIS短路径模糊测试寻找漏洞的方法,并详细描述了如何通过深入分析一个开源ChatEngine.svc项目的源代码,发现其中的安全隐患,包括路径遍历(LFI)和可能的SSRF盲注问题。文章还提到了如何加入星球进行交流以及分享给更多朋友。

关键观点总结

关键观点1: 使用IIS短路径模糊测试寻找漏洞

文章介绍了一种利用IIS短路径模糊测试的方法,通过扫描是否存在短路径漏洞来发现潜在的安全问题。

关键观点2: 开源项目ChatEngine.svc的安全性分析

文章以一个开源的ChatEngine.svc项目为例,通过深入研究源代码发现了路径遍历(LFI)的安全隐患,并探讨了可能的SSRF盲注问题。

关键观点3: 交流分享和成员定价

文章提到了加入星球进行交流的方式,并给出了前50位成员和后续会员的定价信息。


文章预览

声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名: https://gugesay.com 不想错过任何消息?设置星标 ↓ ↓ ↓ 相信这个页面大家很熟悉吧?看到此类页面,你会怎么做?让我们来看看国外小哥的做法,也许能给你带来一些启发。 首先使用 https://github.com/irsdl/IIS-ShortName-Scanner 进行IIS短路径的模糊测试,看是否存在短路径漏洞。 发现一些文件后,使用ffuf进行进一步的发现,然后就发现了一个EVOLUTION 的目录! 这个ChatEngine.svc 是开源的吗?经过简单的   搜索 ,发现确实是开源的! 居然是一个10多年前的开源项目,那它的   安全 性也许就没有那么好了… 深入研究源代码,小哥发现了如下片段: https://github.com/eStream/e ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览