ASP漏洞集-MS IIS虛擬主機(jī)ASP源碼泄露(MS,缺陷)

涉及程序：
MS windows NT/IIS
描述：
共享目錄導(dǎo)致ASP程序源碼泄露
詳細(xì)：
如果一個虛擬主機(jī)的根目錄是映射到一網(wǎng)絡(luò)共享目錄，通過在ASP或者HTR擴(kuò)展名后增加某些特殊字符，IIS服務(wù)器將反送出這個asp
或者h(yuǎn)tr文件的全部源代碼。如果IIS的文件安裝在本地驅(qū)動器上，就沒有該泄漏源碼這個問題。
在虛擬目錄文件中的asp文件后增加一個符號"\",IIS就會泄漏該asp文件源代碼。
例如，如果虛擬目錄/asp/映射到共享文件夾的\\server1\share目錄,在該共享目錄下存在asp程序：\\serve1
\share\index.asp
通過: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp\ HTTP/1.1
將會返回index.asp的源代碼。
在國內(nèi)，似乎很少有人將web目錄映射到共享資源上
解決方案：
建議不要用共享資源的方式建立ASP站點(diǎn)
Microsoft IIS 5.0（中文版本）:
Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE
Microsoft IIS 5.0（英文版本）:
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE
from:http://www.cnns.net/article/db/205.htm