我们的旧版ASP.NET 2.0网站在Windows 2003 Server上的IIS6中运行,可以接受大量用户上传和用户可下载的文件。不是页面内容;资产文件,如PDF和PNG。但是,当然建议不要让顽皮的bugger上传ASPX文件,然后突然能够在我们的服务器上执行代码。
所以......你认为我们可以在用户上传文件的相应文件夹中设置“执行权限:无”,这就是它的结束。唉。
用户上传的文件最终会出现在名为这些模式的文件夹中:(nnnn,kkkk和llll代表不同长度的数字字符串)
/sites/nnnn/files/ftp
/sites/nnnn/files/orders/kkkk/llll
/sites/nnnn/files/proofs
/sites/nnnn/files/webFiles
但是......还有一些CSS文件存储在这样的文件夹中:
/sites/nnnn/files/skins/kkkk/*.css
CSS文件实际上被解释为ASPX代码,因此可以在查询字符串中传递调色板替换,如下所示:
/sites/2132/skins/83/layout.css?palette=cc33dd,aa22bb,1155ff
所以,“执行权限:无”是/ sites级别的禁忌。而且我真的不愿意在/ sites / nnnn / files中单独执行几千nnnn。
所以我被告知URLScan 3.1是门票,但是在盯着文档一两个小时之后我比以前更加困惑。
有什么想法吗?