首页 / IIS / MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1838字，纯文字阅读大概需要3分钟。

内容图文

MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

Introduzione

E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.

In realtà la libreria vulnerabile si chiama HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!

A cosa serve la libreria HTTP.sys?

Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.

Tipologia di vulerabilità e Exploit

Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:

MS Windows (HTTP.sys) HTTP Request Parsing DoS (MS15-034)
Microsoft Window – HTTP.sys PoC (MS15-034)

Sistemi a rischio

Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, e Windows Server 2012 R2 con a bordo almeno IIS 6.

Test di vulnerabilità

Per testare il proprio sistema basta eseguire una semplice chiamate GET verso IIS con un particolare HEADER:

        curl -v [ipaddress]/ -H "Host: MS15034" -H "Range: bytes=0-18446744073709551615"

        wget -O /dev/null --header="Range: 0-18446744073709551615" http://[ip address]/

Se il sistema è vulnerabile si riceverà la risposta:

"Requested Header Range Not Satisfiable"

Come proteggersi

1) Aggiornare il sistema con la patch rilasciata da Microsoft il 14 Febbraio: MS15-034

2) Nell’impossibilità di poter aggiornare nell’immediato il sistema operativo, è possibile configurare ad hoc i propri WaF (Web Application Firewall) o IPS (Intrusion prevention systems)

Personalmente sto testando delle regole sul WaF modsecurity, spero di pubblicarle presto…rimanete in contatto 技术分享

Link di riferimento

sans.edu

原文：http://www.cnblogs.com/Le30bjectNs11/p/4434253.html

内容总结

以上是互联网集市为您收集整理的MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO全部内容，希望文章能够帮你解决MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/1125011.html

来源：【匿名】

【上一篇】IIS放置的APP安装包在浏览器无法打开【下一篇】NT IIS下用ODBC连接数据库

更多 ►

【MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO】教程文章相关的互联网学习教程文章

有了SSL证书，如何在IIS环境下部署https？【转载】

昨天各位小伙伴都很开心的领取了自己的SSL证书，但是大部分小伙伴却不知道如何部署，也许是因为第一次接触SSL这种高端的东西吧，不过个人觉得就是懒懒懒。。。本来小编也挺懒的，但是答应了各位小伙伴的，那么今天就教大家如何在IIS环境下部署HTTPS证书吧。（建议在PC端阅读）1、首先我们要取走我们的证书，保存在我们本地的电脑里，然后复制到服务器即可。2、取走后接下来干嘛？当然是打开文件看看里面有些什么啊。我们找到IIS那个...

IIS配置HTTPS【图】

1，新建网站，选中类型为https，然后更改SSL证书为你配置的SSL证书，对于SSL证书的配置是这样的点开第二步，然后点击创建自签名证书确定以后点开网站看到有个SSL，双击进去，再选中要求SSL选中此步就是为了防止浏览器认为你的网站不安全阻止网站的访问，到此，证书配置完成原文：http://www.cnblogs.com/boosasliulin/p/6811231.html

【转】图解 HTTP协议/IIS 原理及ASP.NET运行机制浅析【代码】【图】

前言前一段在整理邮件的时候发现几年前和CDD老师交流时的一份邮件.下面是简单摘要:“从技术角度来说，无论哪一个阵营，跟新技术都是不可避免的，也是很累的，当然作为一个程序员来说，也是必须的。要想让技术的更新对自己的影响减小，基础就必须打牢。所以,底层的东西和抽象层的东西需要下一番功夫。因为说到底，无论什么技术，无非就是架构和最终的实现，技术框架只是应用开发的一个平台一种技术，如果了解了具体的东西，技术更新...

IIS https绑定主机头方法（可实现禁止直接通过IP访问，好像还可以实现IIS中绑定多个https<是使用多个单域名证书，非多域名证书>）【图】

步骤：打开：%systemroot%\SYSTEM32\inetsrv\config\打开：applicationHost.config查找：<binding protocol="https"bindingInformation="IP地址:443:这里填入域名" /> IIS中的效果：通过“https://IP”访问的效果：Not FoundHTTP Error 404. The requested resource is not found.是使用多个单域名证书，非多域名证书>）' ref='nofollow'>IIS https绑定主机头方法（可实现禁止直接通过IP访问，好像还可以实现IIS中绑定多个https<是...

如何解决IIS配置HTTPS证书后刷新消失问题【图】

IIS配置CER证书后完成证书申请后刷新后就会消失的这个BUG微软一直存在，因为我们一般申请都是下来的CER文件和私钥但是IIS只支持PFX文件的导入，所以我们需要把CER文件和证书私钥转换成PFX文件1.第一步，打开： https://ssl4less.eu/ssl-tools/convert-certificate.html 点击Convert后，就会生成PFX文件了，然后进入IIS的服务器证书点击导入就可以了，导入时需要输入刚才设置的私钥密码，就成功导入证书了。原文：https://www.cnblo...

通过IIS部署，将图片或者视频等文件用http协议网址访问【图】

打开IIS管理器又键点击添加网站然后到这个界面文件夹里有这些图片，随便用的一些图片然后我这里用的是局域网测试，所以IP就是wifi的IP地址，如果是服务器的话，直接选服务器本身的IP地址就行了填完这三个信息后点击确定这样就基本部署好了会显示这样的网页不要慌，就差最后一步啦！然后回车就可以通过http网址访问D:/Test这个文件夹里的图片和视频了因为设备有限用的手机测试然后我用连着同一WIFI的手机在网...

将自己的IIS站点免费升级为Https【代码】【图】

Let‘s EncryptLet‘s Encrypt 是一个由Internet Security Research Group (互联网安全研究组)提供的免费，自动化和开放的证书颁发机构。它秉承着免费,自动化,安全,透明,开放的基本原则面向社会提供服务.并且截止到今年七月底已通过了Microsoft，Google，Apple，Mozilla，Oracle和Blackberry的直接信任.这意味着.使用Let‘s Encrypt 生成的证书可以被当前99%的浏览器所信任.详情可见https://letsencrypt.org.1.Linux 下的证书生成...

IIS7.5 HTTP错误403.1-Forbidden 您尝试从某个目录运行CGI、ISAPI或其他可执行程序，但该目录不允许运行可执行文件【图】

----------------错误详细-----------------------------------------------------------------------------------------解决方法-------------------------------- 原文：http://www.cnblogs.com/wangsaiming/p/4016499.html

怎样用idhttpserver代替IIS让用户浏览html或下载文件 http://bbs.csdn.net/topics/360248674【图】

怎样用idhttpserver代替IIS让用户浏览html或下载文件更多0分享到：相关知识库： C# 虚拟现实（VR） Node.js 算法与数据结构对我有用[0] 丢个板砖[0] 引用 | 举报 | 管理回复次数：6关注SQLDebug_FanSQLDebug_Fan本版等级： #1 得分：0回复于： 2011-05-29 15:03:31你要实现HTTP Server？对我有用[0] 丢个板砖[0] 引用 | 举报 | 管理关注cgfhz国风本版等级： #2 得分：0回复于： 2011-05-30 08:36:43看idhttpserver的demo ...

关于asp.net core部署到iis中出现 HTTP Error 502.5 - Process Failure的问题

环境是windows Server2008R2出现这个问题搞了一下午都没解决，最后又加班才算搞定，由于英文不太好，官方的文档看了好几遍，也按照文档做的，但还是出现这个问题，百度google搜了很多解决方案，百度信息没太多价值，就感觉dudu的一篇文章对症，但试的时候才发现没用。最后还是耐心的看了几个stackoverflow的方案，最后看到其中的一个回答试了下，然后才解决的。原因是系统缺少一个补丁：Windows6.1-KB2999226-x64.msu附stackoverfl...

.net core 部署到IIS 以及上 HTTP Error 502.5 - ANCM Out-Of-Process Startup Failure【图】

安装AspNetCoreModule托管模块后执行1.net stop was /y2.net start w3svc测试可以，但是需要装对应的托管模块的版本。1. .NET Core与Windows环境　　Asp.Net Core 2.2.0　　Windows 102. 先决条件　下载并安装.Net Core Hosting Bundle.3. 部署过程 Visual Studio 发布程序　　新建IIS站点　　调整应用程序池，.NET CLR版本选择“无托管代码” 最后附上微软官方文档地址：点击查看原文：https://www.cnblogs.com/owenzh/p/1...

Multiple HTTPS Bindings IIS 7 Using appcmd

http://toastergremlin.com/?p=308Sometimes when using a wildcard SSL or Unified Communications Certificate (UCC) it is necessary to add multiple https host headers for a single IP. Unfortunately the IIS 7 GUI does not allow you to set a host header on a https binding however this can be achieved using the “appcmd” command.1. First bind the certificate to one site as normal by adding the https bin...

IIS虚拟目录内的视频文件访问出错：HTTP 错误 404.3 - Not Found 由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本，请添加处理程序。如果应下载文件，请添加 MIME 映射。【图】

MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。我是在配置WIN7服务器的时候遇到这样的问题的，我在ASP服务器的虚拟目录“asptest”下放了一个视频文件"video.mp4"，结果我在浏览器上直接访问http://localhost/asptest/video.mp4时，就出现HTTP 错误 404.3 - Not Found由于扩...

MVC4发布到IIS，出现HTTP 错误 404.0 - Not Found的解决方法

MVC4发布到IIS，出现HTTP 错误 404.0 - Not Found的解决方法1.出现的错误页面 2.定位原因，因为web.config中有配置4.5而实际服务器只装了4.0，导致没有办法解析。出现上述错误 3.解决办法<system.webServer><modules runAllManagedModulesForAllRequests="true" /></system.webServer>重新启动网站，回收，再次查看，就可以运行了。原文：http://www.cnblogs.com/chenhuzi/p/4995376.html

IIS7.5 发布mvc遇到的HTTP错误 403.14-Forbidden解决办法

<system.webServer> <validationvalidateIntegratedModeConfiguration="false"/> <modules runAllManagedModulesForAllRequests="true" /></system.webServer>在web.config增加<modules runAllManagedModulesForAllRequests="true" />如果还不行，请检查一下“处理程序映射”，里面是否有“ExtensionlessUrlHandler-Integrated-4.0”，如果没有，请注册.net4.0。在运行里输入：C:\Windows\Microsoft.NET\Framework\v4.0.30319\...

IIS - 最热教程

php服务器环境搭建配置(apache与iis两种...IIS+fastcgi下PHP运行超时问题的解决办...iis7下，php如何显示错误 PHPWAMP_IN3新特性，一键内网穿透，一键...IIS和.NET(1.1/2.0)的安装顺序及错误解...如何在ASP.NET Core应用程序运行Vue并且...WindowIIS环境下WordPress安装部署步骤先装了FRAMEWORK，后装IIS导致asp.net页...IIS应用池回收造成Application_Start中...IIS7，IIS7.5在高版本IE下丢失session，...

首页 / IIS / MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

内容导读

内容图文

Introduzione

Tipologia di vulerabilità e Exploit

Sistemi a rischio

Test di vulnerabilità

Come proteggersi

Link di riferimento

内容总结

内容备注

内容手机端

【MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO】教程文章相关的互联网学习教程文章

IIS - 最新教程

IIS - 最热教程