我能找到關於這個問題是從1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一個帖子,所以我希望有人在這裏可能對這個話題最近認識的唯一的事:IIS 6可以爲未處理的ASP/ASPX頁面提供服務嗎?
有誰知道,如果有任何IIS6中的已知漏洞允許用戶查看未經處理的ASP或ASPX頁面,而不是獲得對服務器的控制權?
我能找到關於這個問題是從1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一個帖子,所以我希望有人在這裏可能對這個話題最近認識的唯一的事:IIS 6可以爲未處理的ASP/ASPX頁面提供服務嗎?
有誰知道,如果有任何IIS6中的已知漏洞允許用戶查看未經處理的ASP或ASPX頁面,而不是獲得對服務器的控制權?
僅當從站點的應用程序映射中刪除這些擴展名時,或者如果您以某種方式配置它時,IIS纔會爲原始的asp或aspx服務。
爲什麼你想要未經處理的asp頁面?您可以創建一個鏈接,將該頁面轉義並放入用戶的網頁中。
對我來說這將是一個潛在的安全風險,因爲如果您忘記了並留下安全漏洞,將會看到。
我不想要未經處理的asp頁面;只是確保沒有方法供用戶查看它們,我不知道 – John 2009-05-05 15:31:24
如果您沒有正確設置腳本映射,這可能是一個問題,但這更多的是部署時間問題,而不是運行時問題。
我認爲這方面的任何其他漏洞都與應用程序有關(選擇一個文件下載服務器端......),而不是那麼多平臺相關。
您是否擔心人們能夠看到您的源代碼?如果是這樣,我不會太擔心,特別是使用.net和使用代碼背後的代碼,以及一個正確架構的n層網站。
真的,這是一個值得關注的唯一情況是,如果您的頁面出現錯誤,並且吐出調試代碼,即使使用傳統的asp。
您可以在不從服務器中刪除文件的情況下,刪除IIS中文件擴展的映射。但是,爲什麼你想這樣做並不明確.. – TheAlbear 2009-05-12 14:10:59