当前位置: 首页 > 图文教程 > 网络编程 > ASP > ASP漏洞集-MS IIS虚拟主机ASP源码泄露(MS,缺陷)

ASP
Access 2000 数据库 80 万记录通用快速分页类
Microsoft JET Database Engine 错误 ''80004005'' 未指定的错误的完美解决方法
收藏的ASP常用的函数集
asp分页的一个类
ASP开发网页牢记注意事项
ASP下操作Excel技术总结分析
ASP数据岛操作类
ASP经典分页类
asp论坛在线人数统计研究
ASP调用SQL SERVER存储程序
asp输出bmp
ASP连接数据库的全能代码
ASP面向对象编程探讨及比较
web文件管理器的后续开发
一小偷类!!有兴趣的可以看看
利用ASP实现事务处理的方法
大数量查询分页显示 微软的解决办法
如何把ASP编写成DLL
asp实现树型结构
超级ASP大分页_我的类容我做主

ASP漏洞集-MS IIS虚拟主机ASP源码泄露(MS,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 200 ::
收藏到网摘: n/a

涉及程序:
MS windows NT/IIS
描述:
共享目录导致ASP程序源码泄露
详细:
如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp
或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题。
在虚拟目录文件中的asp文件后增加一个符号"\",IIS就会泄漏该asp文件源代码。
例如,如果虚拟目录/asp/映射到共享文件夹的\\server1\share目录,在该共享目录下存在asp程序:\\serve1
\share\index.asp
通过: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp\ HTTP/1.1
将会返回index.asp的源代码。
在国内,似乎很少有人将web目录映射到共享资源上
解决方案:
建议不要用共享资源的方式建立ASP站点
Microsoft IIS 5.0(中文版本):
Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE
Microsoft IIS 5.0(英文版本):
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE
from:http://www.cnns.net/article/db/205.htm