ASP漏洞集-MS IIS server的ASP安全缺陷(MS,缺陷)

涉及程序：
Microsoft IIS server
描述：
IIS使有權(quán)上傳和使用asp程序的用戶能更改任何文件
詳細(xì)：
這是IIS的一個(gè)非常嚴(yán)重的漏洞,即使是IIS4.0,仍然沒有補(bǔ)上這個(gè)漏洞: 你建立
如http://www.cnns.net/frankie/text/aspwrite.txt這樣一個(gè)簡單的asp程序取名為write.asp，注意，程序不允許換行!
然后上傳到任何一個(gè)web目錄中(允許腳本執(zhí)行),如:
http://www.xxx.com/frankie/write.asp
然后在瀏覽器中輸入該地址
這樣,將替換首頁! 紅字黑底,顯示: This page was hacked by small-hacker!
解決方案：
沒有相關(guān)補(bǔ)丁，只能禁止非管理員的用戶上傳asp程序并執(zhí)行腳本
安全建議：
管理員應(yīng)該知道這樣一個(gè)事實(shí)：如果給用戶開放ASP上傳和腳本執(zhí)行權(quán)限，等于把整個(gè)系統(tǒng)的控制權(quán)交給了用戶。所以絕不要輕易開
放asp的權(quán)限給一般用戶
相關(guān)下載：
http://www.cnns.net/frankie/text/aspwrite.txt