微软的IIS 6存在严重解析文件名错误

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

测试办法:在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是<%=now%>,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,黑客就可以上传图片来当作ASP木马来运行。

解决办法:设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限,就可以解决这个问题。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航