微软的IIS 6存在严重解析文件名错误
[color=#ff0000]测试办法:[/color]在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp ,在这个文件夹中上传一个 hack.jpg,这个jpg的内容可以直接是<%=now%>,然后,用IE远程访问这个hack.jpg,你可以发现,它一样被当作是ASP文件来运行!显然,只要你的网站程序,允许用户自己建立文件夹及上传图片,黑客就可以上传图片来当作ASP木马来运行。[color=#ff0000]解决办法:[/color]所有使用虚拟主机用户,请联系主机商,把允许 用户上传文件的文件夹设置成 不允许执行asp程序, 另,请不要建立以 test.asp 等为名字的文件夹。 微软在未发布补丁之前,最好是关闭前台用户上传权限。
页:
[1]