MS IIS虛擬主機(jī)ASP源碼泄露 (MS,缺陷)

2019-11-18 22:31:54

字體：大中小

供稿：網(wǎng)友

涉及程序：
MS windows NT/IIS

描述：
共享目錄導(dǎo)致asp程序源碼泄露

詳細(xì)：
如果一個(gè)虛擬主機(jī)的根目錄是映射到一網(wǎng)絡(luò)共享目錄，通過在ASP或者HTR擴(kuò)展名后增加某些特殊字符，IIS服務(wù)器將反送出這個(gè)asp
或者h(yuǎn)tr文件的全部源代碼。如果IIS的文件安裝在本地驅(qū)動(dòng)器上，就沒有該泄漏源碼這個(gè)問題。

在虛擬目錄文件中的asp文件后增加一個(gè)符號(hào)"/",IIS就會(huì)泄漏該asp文件源代碼。
例如，如果虛擬目錄/asp/映射到共享文件夾的//server1/share目錄,在該共享目錄下存在asp程序：//serve1
/share/index.asp
通過: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp/ HTTP/1.1

將會(huì)返回index.asp的源代碼。

在國內(nèi)，似乎很少有人將web目錄映射到共享資源上

解決方案：
建議不要用共享資源的方式建立ASP站點(diǎn)
Microsoft IIS 5.0（中文版本）:

Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE

Microsoft IIS 5.0（英文版本）:
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE

from:http://www.cnns.net/article/db/205.htm

上一篇：虛擬web目錄容易泄露ASP源代碼 (MS,缺陷)

下一篇：Carello Web 使 ASP 源碼暴露 (APP,缺陷)