涉及程序:
Microsoft IIS Server/Frontpage Extention Server
描述:
ASP程序代码仍然容易泄露
详细:
如果ASP等文件位于一个web虚拟目录下,而客户端对该文件请求时,可能可以绕过server端对ASP程序的处理,从而在浏览器上看到ASP程序的代码。这取决于客户请求的文件类型、虚拟web目录和文件后缀,以及该目录所设置的权限。这种错误一旦发生,多数情况下浏览器显示请求的文件找不到,而更糟糕的情况就是显示ASP的代码到浏览器上。
发生这种错误的原因有两种,其一是管理员配置错误,比如web目录的权限和位置设置错误;另一种原因是产品安装后生成默认的虚拟web目录名,比如Front Page Server Extentions。
解决方案:
下载微软的专用补丁程序:
Intel:
vrdcon4i.exe
vrdcon4is.exe
Alpha:
vrdcon4a.exe
vrdcon4as.exe
安全建议:
建议将ASP程序的重要信息用加密方式保存和调用。
评论加载中…
