none
关于IIS6的漏洞,两个asp解析漏洞 RRS feed

  • 问题

  • 在IIS中,文件名为“hack.asp;aa.jpg”的文件会被当成asp执行,因为IIS忽略分号(;)后面的文件名,还有一个,就是文件夹名为.asp结尾的文件夹中的所有文件都会被当成asp执行,这两个漏洞如何修补,微软是没有出这两个漏洞的补丁???
    2009年10月13日 19:11

答案

  • 这个好像一直是这样的,没有补丁。
    中就需要在上传文件时进行处理了,比如:重新更改图片名字,因为客户端的名字千奇百怪,不一定适合在web上使用。另外,以用户名来创建目录的时候,比如有些博客系统,在注册用户的时候禁止使用 .asp,这样应当就可以避免了

    【孟子E章】
    2009年10月14日 0:46
    版主