微软的IIS 6存在严重解析文件名错误

2008-02-23 05:34:15来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

测试办法:在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是<%=now%>,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,黑客就可以上传图片来当作ASP木马来运行。

解决办法:设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限,就可以解决这个问题。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:ASP取出HTML里面的图片地址的函数

下一篇:ASP如何跳出本次进入下一次循环