代码之家  ›  专栏  ›  技术社区  ›  John

IIS 6是否可以为未处理的ASP/ASPX页提供服务?

  •  1
  • John  · 技术社区  · 16 年前

    关于这个问题,我唯一能找到的就是1997年的一篇文章。 ( http://insecure.org/sploits/microsoft.asp.iis.html ,所以我希望在这里的人可能对这个话题有更新的了解:

    有人知道IIS6中是否存在任何已知的漏洞,允许用户查看未处理的ASP或ASPX页,而不受服务器控制吗?

    4 回复  |  直到 13 年前
        1
  •  4
  •   Joel Coehoorn    16 年前

    只有从站点的应用程序映射中删除了这些扩展,或者您做了其他一些愚蠢的事情来配置它,IIS才会提供原始ASP或ASPX。

        2
  •  1
  •   James Black    16 年前

    为什么需要未处理的ASP页?你只需要有一个链接,它就可以逃出网页并把它放到用户的网页上。

    对我来说,这将是一个潜在的安全风险,就像如果你忘记并留下了一个安全漏洞,就会看到它。

        3
  •  1
  •   JohnW    16 年前

    如果没有正确设置脚本映射,这可能是一个问题,但这更多是部署时问题,而不是运行时问题。

    我认为这方面的任何其他漏洞都与应用相关(选择一个文件来下载服务器端…),与平台无关。

        4
  •  1
  •   AaronS    16 年前

    你担心人们能看到你的源代码吗?如果是的话,我不会太担心它,特别是对于.NET和使用代码隐藏文件,以及一个适当架构的N层站点。

    实际上,唯一需要注意的是,如果页面上出现错误,并且您吐出调试代码,即使是使用经典的ASP。