我使用开发和预生产的IIS服务器来发布和测试我们开发的Web应用程序。一些道德黑客顾问来了,并警告我们他们在我们的一些服务器中发现的漏洞:
http://www.ourserver.com/default_logged.aspx?Dir=http://www.anyexternalsite.com
此漏洞会将用户从我们的网站重定向到外部网站,让他们成为网络钓鱼受害者。
我用Google搜索了这个漏洞(目录或路径遍历),我发现了这个链接:
https://www.cvedetails.com/cve/CVE-2014-4078/
我按照他们的建议从这个官方MS站点(对于Windows Server 2012 R2)安装了一些更新:
https://technet.microsoft.com/library/security/ms14-076
但问题仍然存在......如果有人知道并告诉我如何解决它,我将非常感激。
提前致谢。
答案 0 :(得分:0)
它不是路径遍历漏洞,通过路径遍历攻击者可以看到服务器的内部文件。
这是开放式重定向,您的网站会将用户重定向到其他网站。
解决方案可能是: