1
我能找到關於這個問題是從1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一個帖子,所以我希望有人在這裏可能對這個話題最近認識的唯一的事:IIS 6可以爲未處理的ASP/ASPX頁面提供服務嗎?
有誰知道,如果有任何IIS6中的已知漏洞允許用戶查看未經處理的ASP或ASPX頁面,而不是獲得對服務器的控制權?
A
回答
4
僅當從站點的應用程序映射中刪除這些擴展名時,或者如果您以某種方式配置它時,IIS纔會爲原始的asp或aspx服務。
1
爲什麼你想要未經處理的asp頁面?您可以創建一個鏈接,將該頁面轉義並放入用戶的網頁中。
對我來說這將是一個潛在的安全風險,因爲如果您忘記了並留下安全漏洞,將會看到。
+0
我不想要未經處理的asp頁面;只是確保沒有方法供用戶查看它們,我不知道 – John 2009-05-05 15:31:24
1
如果您沒有正確設置腳本映射,這可能是一個問題,但這更多的是部署時間問題,而不是運行時問題。
我認爲這方面的任何其他漏洞都與應用程序有關(選擇一個文件下載服務器端......),而不是那麼多平臺相關。
1
您是否擔心人們能夠看到您的源代碼?如果是這樣,我不會太擔心,特別是使用.net和使用代碼背後的代碼,以及一個正確架構的n層網站。
真的,這是一個值得關注的唯一情況是,如果您的頁面出現錯誤,並且吐出調試代碼,即使使用傳統的asp。
相關問題
- 1. IIS 6完全需要爲cshtml頁面提供服務嗎?
- 2. IIS 6可以爲沒有擴展名的頁面提供請求嗎?
- 3. IIS 6沒有提供asp.net 1.1頁面?
- 4. 我可以通過非IIS託管的WCF服務提供網頁嗎?
- 5. 未處理的Promise拒絕,未提供服務
- 6. 單個ELB可以爲多個域提供服務嗎?它可以提供多個子域名嗎?
- 7. Sitefinity,IIS 6 WCF服務返回主頁
- 8. IIS不服務PHP頁面
- 9. 可以在nfsn提供的服務器上安裝couchdb嗎?
- 10. 從何處爲RESTful架構中的多資源Web UI頁面提供服務?
- 11. 是否有IIS中的網站級別設置可以防止ASP頁面被提供服務?
- 12. 向iis提供Sql Server報告服務
- 13. 使用mod_rewrite來爲移動版本的頁面提供服務
- 14. IIS無法提供以.config結尾的頁面
- 15. 我可以在Android應用程序中提供服務嗎
- 16. Solr可以在重新索引時提供搜索服務嗎?
- 17. Can Asciidoctor可以爲每章提供一個單獨的HTML頁面嗎?
- 18. 服務不同的頁爲IIS不同域名(6或7)
- 19. asp.net可以提交一半的網頁進行處理嗎?
- 20. 如何從我的IIS 7服務器提供顛覆服務?
- 21. 使用過濾器來爲特定頁面提供服務?
- 22. 如何配置nodejs/expressjs通過https爲頁面提供服務?
- 23. 我可以在運行時處理我的佈局頁面嗎?
- 24. Java applet可以處理包含它的HTML頁面嗎?
- 25. IIS媒體服務可以在IIS Express上運行嗎?
- 26. 爲在IIS上運行的Web服務提供SSL
- 27. ReLU可以處理負面輸入嗎?
- 28. 未提供此類型的頁面
- 29. 從IIS 7服務器到IIS 6服務器的FTP ASP.NET MVC
- 30. 需要幫助配置IIS以提供2.0 Web服務
您可以在不從服務器中刪除文件的情況下,刪除IIS中文件擴展的映射。但是,爲什麼你想這樣做並不明確.. – TheAlbear 2009-05-12 14:10:59