当前位置: 首页 > 图文教程 > 网络编程 > ASP > MS IIS虚拟主机ASP源码泄露 (MS,缺陷)

ASP
ASP设计常见问题及解答精要-1
ASP设计常见问题及解答精要-2
ASP设计常见问题及解答精要-3
ASP设计常见问题及解答精要-4
asp学习入门经验谈
如何才能成为一名真正的Web程序员
手把手教你在ASP中使用SQL语句
ASP与数据库应用(给初学者)
亲密接触ASP.Net(1)
亲密接触ASP.Net(2)
亲密接触ASP.Net(3)
亲密接触ASP.Net(4)
亲密接触ASP.Net(5)
.Net边学边讲(一)
.Net边学边讲(二)
.Net边学边讲(三)
NET移植案例学习:建造Web站点(1)
NET移植案例学习:建造Web站点(2)
ASP 3.0高级编程(四十)
深入研究Application和Session对象(1)

MS IIS虚拟主机ASP源码泄露 (MS,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 85 ::
收藏到网摘: n/a

  涉及程序:
MS windows NT/IIS
  
描述:
共享目录导致ASP程序源码泄露
  
详细:
如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp
或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题。

在虚拟目录文件中的asp文件后增加一个符号"\",IIS就会泄漏该asp文件源代码。
例如,如果虚拟目录/asp/映射到共享文件夹的\\server1\share目录,在该共享目录下存在asp程序:\\serve1
\share\index.asp
通过: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp\ HTTP/1.1

将会返回index.asp的源代码。

在国内,似乎很少有人将web目录映射到共享资源上
  
解决方案:
建议不要用共享资源的方式建立ASP站点
Microsoft IIS 5.0(中文版本):

Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE


Microsoft IIS 5.0(英文版本):
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE

from:http://www.cnns.net/article/db/205.htm