MSIIS虛擬主機ASP源碼泄露(MS,缺陷)
涉及程序:
MS windows NT/IIS
描述:
共享目錄導致ASP程序源碼泄露
詳細:
如果一個虛擬主機的根目錄是映射到一網絡共享目錄,通過在ASP或者HTR擴展名后增加某些特殊字符,IIS服務器將反送出這個asp
或者htr文件的全部源代碼。如果IIS的文件安裝在本地驅動器上,就沒有該泄漏源碼這個問題。
MS windows NT/IIS
描述:
共享目錄導致ASP程序源碼泄露
詳細:
如果一個虛擬主機的根目錄是映射到一網絡共享目錄,通過在ASP或者HTR擴展名后增加某些特殊字符,IIS服務器將反送出這個asp
或者htr文件的全部源代碼。如果IIS的文件安裝在本地驅動器上,就沒有該泄漏源碼這個問題。
在虛擬目錄文件中的asp文件后增加一個符號"",IIS就會泄漏該asp文件源代碼。
例如,如果虛擬目錄/asp/映射到共享文件夾的\server1share目錄,在該共享目錄下存在asp程序:\serve1
shareindex.asp
通過: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp HTTP/1.1
將會返回index.asp的源代碼。
在國內,似乎很少有人將web目錄映射到共享資源上
解決方案:
建議不要用共享資源的方式建立ASP站點
Microsoft IIS 5.0(中文版本):
Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE
Microsoft IIS 5.0(英文版本):
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE
from:http://www.cnns.net/article/db/205.htm