MS IIS虚拟主机ASP源码泄露(MS,缺陷)-ASP漏洞集

iis|虚拟主机

   涉及程序:
  MS Windows NT/IIS
  描述:
  共享目录导致ASP程序源码泄露
  详细:
  如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp
  或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题。
  在虚拟目录文件中的asp文件后增加一个符号"\",IIS就会泄漏该asp文件源代码。
  例如,如果虚拟目录/asp/映射到共享文件夹的\\server1\share目录,在该共享目录下存在asp程序:\\serve1
  \share\index.asp
  通过: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
  GET /asp/index.asp\ HTTP/1.1
  将会返回index.asp的源代码。
  在国内,似乎很少有人将Web目录映射到共享资源上
  解决方案:
  建议不要用共享资源的方式建立ASP站点
  Microsoft IIS 5.0(中文版本):
  Microsoft patch Q249599_W2K_SP1_X86_cn
  http://image.21tx.com/files/20050819/15431.exe
  Microsoft IIS 5.0(英文版本):
  Microsoft patch Q249599_W2K_SP1_X86_en
  http://image.21tx.com/files/20050819/15437.exe
  from:http://www.cnns.net/article/db/205.htm

时间: 2024-11-03 17:33:52

MS IIS虚拟主机ASP源码泄露(MS,缺陷)-ASP漏洞集的相关文章

MS IIS虚拟主机ASP源码泄露 (MS,缺陷)

iis|虚拟主机 涉及程序: MS windows NT/IIS 描述: 共享目录导致ASP程序源码泄露 详细: 如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp或者htr文件的全部源代码.如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题. 在虚拟目录文件中的asp文件后增加一个符号"\",IIS就会泄漏该asp文件源代码.例如,如果虚拟目录/asp/映射到共享文件夹的\\server1\shar

Carello Web 使 ASP 源码暴露 (APP,缺陷)

web 涉及程序: Carello Web on NT running IIS 描述: Carello Web 使 ASP 源码暴露 详细: Carello Web 是一个支持网络购物的软件.Carello Web 存在一个安全问题使远程攻击者能在系统上建立一个文件,如果这个文件已经存在就会复制一份,并在文件的扩展名之后有点改动.如:123.asp 会改为 123.asp1 由于扩展名改变,文件会以文本形式被攻击者读取.攻击者能通过 ASP 源程序获得系统密码.用法举例: http://char

看asp源码的方法及工具20种

众所周知windows平台漏洞百出,补丁一个接一个,但总是补也补不净.我把我所知道的20种看asp源码的方法总结了一下,并且用c#写了个应用程序来扫描这些漏洞,发现虽然大部分的方法已经不起做用,但还是有一些漏网之鱼的:),结果这两天真看到不少站的源代码,包括数据库密码,如果用access的可以把库下载下来,而用sql server的如果不是用udl,dsn等来连接的话,也可以通过tcp/ip网络库连接到数据库,为所欲为呀.先面把这20种方法列在下面: .%81::DATA%2e%2e%41sp+

磁盘ID在ASP源码防拷贝中的应用

自从ASP(Active Server Pages)问世以来,因其可以创建健壮易于维护.与平台无关的应用系统,ASP技术受到了越来越多网络程序员的喜爱,使用ASP从事WEB开发的人也越来越多.但ASP只是一种非编译型的.在服务端运行的脚本语言,采用明文(plain text)方式来编写,即使采用了ASP加密程序对ASP源码进行加密,也不一定能保证发布到运行环境中去的ASP应用程序不被非法拷贝.对于高权限的管理员,可以轻而易举从服务器端拷贝出ASP程序应用到别的非授权网站.这样给ASP应用商业化带

磁盘ID在ASP源码防拷贝中的应用(z)

磁盘ID在ASP源码防拷贝中的应用(孔祥军.苏悦娟 2001年07月26日 17:07) 自从ASP(Active Server Pages)问世以来,因其可以创建健壮易于维护.与平台无关的应用系统,ASP技术受到了越来越多网络程序员的喜爱,使用ASP从事WEB开发的人也越来越多.但ASP只是一种非编译型的.在服务端运行的脚本语言,采用明文(plain text)方式来编写,即使采用了ASP加密程序对ASP源码进行加密,也不一定能保证发布到运行环境中去的ASP应用程序不被非法拷贝.对于高权限的管

ZooKeeper源码研究系列(4)集群版服务器介绍

1 系列目录 ZooKeeper源码研究系列(1)源码环境搭建 ZooKeeper源码研究系列(2)客户端创建连接过程分析 ZooKeeper源码研究系列(3)单机版服务器介绍 ZooKeeper源码研究系列(4)集群版服务器介绍 2 集群版服务器启动过程 启动类是org.apache.zookeeper.server.quorum.QuorumPeerMain,启动参数就是配置文件的地址 2.1 配置文件说明 来看下一个简单的配置文件内容: tickTime=4000 initLimit=10

ZooKeeper源码研究系列(5)集群版建立连接过程

1 系列目录 ZooKeeper源码研究系列(1)源码环境搭建 ZooKeeper源码研究系列(2)客户端创建连接过程分析 ZooKeeper源码研究系列(3)单机版服务器介绍 ZooKeeper源码研究系列(4)集群版服务器介绍 2 各服务器角色的请求处理器链 先介绍下Leader.Follower.Observer服务器的请求处理器链 2.1 Leader服务器 PrepRequestProcessor->ProposalRequestProcessor->CommitProcessor-

QBlog V2.5 源码开放下载(ASP.NET 番外系列之开端)

QBlog简介: QBlog:是一个套博客系统,开源.支持多用户.多语言.及方便的多数据库切换. QBlog下载:http://www.cyqdata.com/download/article-detail-427 QBlog演示:你点击下载所看到秋色园,就是QBlog的进化版本. 掌握QBlog原理及开发的意义?  QBlog是能帮助你真正意义的掌握ASP.NET开发的一套系统. 它没有WebForm,没有MVC,它让你明白,ASP.NET本质并没有控件的概念.   你应该知道,也许你已经知道

源码-诡异事件:asp.net textMode="date" 访问报错

问题描述 诡异事件:asp.net textMode="date" 访问报错 本地运行没有问题,源码上传到阿里云主机之后就报错,求高手解答,附上报错截图: 解决方案 asp.net的textBox里textMode没有Number枚举,date枚举也没有http://www.w3school.com.cn/aspnet/prop_webcontrol_textbox_textmode.asp