1
我能找到关于这个问题是从1997年 (http://insecure.org/sploits/microsoft.asp.iis.html)一个帖子,所以我希望有人在这里可能对这个话题最近认识的唯一的事:IIS 6可以为未处理的ASP/ASPX页面提供服务吗?
有谁知道,如果有任何IIS6中的已知漏洞允许用户查看未经处理的ASP或ASPX页面,而不是获得对服务器的控制权?
A
回答
4
仅当从站点的应用程序映射中删除这些扩展名时,或者如果您以某种方式配置它时,IIS才会为原始的asp或aspx服务。
1
为什么你想要未经处理的asp页面?您可以创建一个链接,将该页面转义并放入用户的网页中。
对我来说这将是一个潜在的安全风险,因为如果您忘记了并留下安全漏洞,将会看到。
+0
我不想要未经处理的asp页面;只是确保没有方法供用户查看它们,我不知道 – John 2009-05-05 15:31:24
1
如果您没有正确设置脚本映射,这可能是一个问题,但这更多的是部署时间问题,而不是运行时问题。
我认为这方面的任何其他漏洞都与应用程序有关(选择一个文件下载服务器端......),而不是那么多平台相关。
1
您是否担心人们能够看到您的源代码?如果是这样,我不会太担心,特别是使用.net和使用代码背后的代码,以及一个正确架构的n层网站。
真的,这是一个值得关注的唯一情况是,如果您的页面出现错误,并且吐出调试代码,即使使用传统的asp。
相关问题
- 1. IIS 6完全需要为cshtml页面提供服务吗?
- 2. IIS 6可以为没有扩展名的页面提供请求吗?
- 3. IIS 6没有提供asp.net 1.1页面?
- 4. 我可以通过非IIS托管的WCF服务提供网页吗?
- 5. 未处理的Promise拒绝,未提供服务
- 6. 单个ELB可以为多个域提供服务吗?它可以提供多个子域名吗?
- 7. Sitefinity,IIS 6 WCF服务返回主页
- 8. IIS不服务PHP页面
- 9. 可以在nfsn提供的服务器上安装couchdb吗?
- 10. 从何处为RESTful架构中的多资源Web UI页面提供服务?
- 11. 是否有IIS中的网站级别设置可以防止ASP页面被提供服务?
- 12. 向iis提供Sql Server报告服务
- 13. 使用mod_rewrite来为移动版本的页面提供服务
- 14. IIS无法提供以.config结尾的页面
- 15. 我可以在Android应用程序中提供服务吗
- 16. Solr可以在重新索引时提供搜索服务吗?
- 17. Can Asciidoctor可以为每章提供一个单独的HTML页面吗?
- 18. 服务不同的页为IIS不同域名(6或7)
- 19. asp.net可以提交一半的网页进行处理吗?
- 20. 如何从我的IIS 7服务器提供颠覆服务?
- 21. 使用过滤器来为特定页面提供服务?
- 22. 如何配置nodejs/expressjs通过https为页面提供服务?
- 23. 我可以在运行时处理我的布局页面吗?
- 24. Java applet可以处理包含它的HTML页面吗?
- 25. IIS媒体服务可以在IIS Express上运行吗?
- 26. 为在IIS上运行的Web服务提供SSL
- 27. ReLU可以处理负面输入吗?
- 28. 未提供此类型的页面
- 29. 从IIS 7服务器到IIS 6服务器的FTP ASP.NET MVC
- 30. 需要帮助配置IIS以提供2.0 Web服务
您可以在不从服务器中删除文件的情况下,删除IIS中文件扩展的映射。但是,为什么你想这样做并不明确.. – TheAlbear 2009-05-12 14:10:59