IIS5.0服务器web目录结构信息 (MS,缺陷)

IIS5.0服务器web目录结构信息 (MS,缺陷)

IIS5.0服务器web目录结构信息 (MS,缺陷) 涉及程序：

Microsoft Internet Information Server 5.0

描述：

IIS5.0允许用户摸清楚其web目录结构和物理路径

详细：

我们知道，在IIS4.0中，只要没打services pack5,那么在www下输入这个路径：

http://www.xxx.com/*.idc

将出现:

********************************************

运行查询错误

无法打开查询文件 e:\web\*.idc。可能是文件不存在或是您没有打开文件所需的许可权。

********************************************

这个已经在sp5中补掉了

然而在IIS5.0中，这个问题又冒了出来，如微软的主页:

http://www.microsoft.com/vstudio/1.idq

将出现:

****************************************************************

The IDQ file d:\http\products\developer\devonly\prodinfo\vstudio\1.idq could not be found.

****************************************************************

http://www.microsoft.com/1.ida

将出现:

****************************************************************

The IDQ file d:\http\1.idq could not be found.

****************************************************************

*.idq和*.ida都可以

这是一个信息漏洞，便于入侵者摸清楚web网站的结构，大大方便其修改主页。

解决方案：

打开IIS管理控制台，选中web站点-属性，在上面点“主目录”，在起始点处点“配置'按钮，在应用程序映射处，把关于ida和idq的映射删除。如果一定要用的话，双击ida或者idq的映射，把'检查文件是否存在'勾上'，确定，退出

安全建议：

对于无用的应用程序映射，建议删除