IIS作为ASP文件执行"malicious.asp;.txt“。怎么回事?
IIS作为ASP文件执行"malicious.asp;.txt“。怎么回事?
提问于 2012-08-26 13:05:38
我调查了一种情况,即托管在IIS服务器上的300+网站被黑客攻击。经过调查,我找到了一个包含恶意ASP-经典代码的文本文件。该文件名为dz.asp;.txt,我刚刚意识到IIS愉快地执行了这个文件,没有抱怨。
所以我的问题是:这种行为正常吗?难道IIS不应该把这个文件当作.txt文件而不是.asp吗?
回答 1
Webmasters Stack Exchange用户
回答已采纳
发布于 2012-08-29 02:44:14
2009年,已知IIS存在一个漏洞,即如果名称中有分号,它会根据文件名前面的部分确定文件类型。
有关更多详细信息,请参阅这个NIST描述。
页面原文内容由Webmasters Stack Exchange提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://webmasters.stackexchange.com/questions/33873
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号