ASP漏洞集-MS IIS虚拟主机ASP源码泄露(MS,缺陷)
2018-09-06 12:14
涉及程序:
MS windows NT/IIS
描述:
共享目录导致ASP程序源码泄露
详细:
如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp
或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题。
在虚拟目录文件中的asp文件后增加一个符号,IIS就会泄漏该asp文件源代码。
例如,如果虚拟目录/asp/映射到共享文件夹的\server1share目录,在该共享目录下存在asp程序:\serve1
shareindex.asp
通过: 或者 telnet
GET /asp/index.asp HTTP/1.1
将会返回index.asp的源代码。
在国内,似乎很少有人将web目录映射到共享资源上
解决方案:
建议不要用共享资源的方式建立ASP站点
Microsoft IIS 5.0(中文版本):
Microsoft patch Q249599_W2K_SP1_X86_cn
Microsoft IIS 5.0(英文版本):
Microsoft patch Q249599_W2K_SP1_X86_en
from:
上一篇:模拟QQ的下拉列表选择图象
文章标题:ASP漏洞集-MS IIS虚拟主机ASP源码泄露(MS,缺陷)
文章链接:http://soscw.com/essay/10111.html