关于coldfusion安全性[网络技术]

一不当心高潮了

coldfusion作为web服务器来说,还是对比安定的,但是从其安全性上来说,假如设置不当,很简单造成整个服务器的失陷,其自身的服务作为系统权限来启动的,具体的不多罗嗦.

前几天公布的oldfusion Directory Traversal Vulnerability已经很清楚的描写了高漏洞的操纵方法,但只给出了8.0版本的

http://www.exploit-db.com/exploits/14641/

在http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr10-07上给出了几近通杀全部版本的操纵方法和补偿办法

在这里仅仅是给出了若何得到管理员的密码等之类的,真正的操作还是在进入后台之后,若何去操纵.

mickey的blog上给出了具体的进入后台之后的操纵办法,激烈举荐,PDF下载地址为

http://pentestbox.com/wp-content/uploads/2010/08/ColdFusion后台操纵办法.pdf

后续增补,通过履行筹划任务可以从远程下载一个文本到本地,保存为CFM文件,得到webshell,不过假如按照mickey的办法,通过出错来显示服务器时间,管理员在出错页面上做了重定向的话,就看不到当前时间.

此时可以点击菜单Server Setting-->Setting Summary,这是在页眉就会显示

Report gengrated on Sep 29,2010 20:40   通过这里得到服务器当前时间

然后点击Debugging &Logging-->Scheduled Tasks 这里成立一个新的筹划任务……