我能找到关于这个问题是从1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一个帖子,所以我希望有人在这里可能对这个话题最近认识的唯一的事:IIS 6可以为未处理的ASP/ASPX页面提供服务吗?
有谁知道,如果有任何IIS6中的已知漏洞允许用户查看未经处理的ASP或ASPX页面,而不是获得对服务器的控制权?
我能找到关于这个问题是从1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一个帖子,所以我希望有人在这里可能对这个话题最近认识的唯一的事:IIS 6可以为未处理的ASP/ASPX页面提供服务吗?
有谁知道,如果有任何IIS6中的已知漏洞允许用户查看未经处理的ASP或ASPX页面,而不是获得对服务器的控制权?
仅当从站点的应用程序映射中删除这些扩展名时,或者如果您以某种方式配置它时,IIS才会为原始的asp或aspx服务。
为什么你想要未经处理的asp页面?您可以创建一个链接,将该页面转义并放入用户的网页中。
对我来说这将是一个潜在的安全风险,因为如果您忘记了并留下安全漏洞,将会看到。
我不想要未经处理的asp页面;只是确保没有方法供用户查看它们,我不知道 – John 2009-05-05 15:31:24
如果您没有正确设置脚本映射,这可能是一个问题,但这更多的是部署时间问题,而不是运行时问题。
我认为这方面的任何其他漏洞都与应用程序有关(选择一个文件下载服务器端......),而不是那么多平台相关。
您是否担心人们能够看到您的源代码?如果是这样,我不会太担心,特别是使用.net和使用代码背后的代码,以及一个正确架构的n层网站。
真的,这是一个值得关注的唯一情况是,如果您的页面出现错误,并且吐出调试代码,即使使用传统的asp。
您可以在不从服务器中删除文件的情况下,删除IIS中文件扩展的映射。但是,为什么你想这样做并不明确.. – TheAlbear 2009-05-12 14:10:59