IIs解析漏洞

1. 在windows server 2003中,有一个致命的文件解析漏洞。当我们在win 2003上创建一个发“1.asp”为名的文件夹(是文件夹,不是文件)。然后通过通过网址访问存在这个文件夹下的文件,被访问的文件会被解析成.asp文件。如访问http://192.168.132.182/1.asp/diy.gif,会把diy.gif当成.asp文件来解析。这样当我们有创建文件夹的权限的时候,就可以创建一个文件夹,再将asp木马伪装成图片上传到这个文件夹中,再访问图片就会自动解析成asp木马。

2.  在IIS中,'/' 和 '\' 是没有多大区别的,当你办公设备'\'时,IIS会自动帮你解析丰'/' 。但在脚本文件里,这是两个符号,代表着不同的意思。所以说,在'/'被过滤的情况下,可以考虑'\'

你可能感兴趣的:(iis,网站,iis,windows,server,2003,漏洞)