我能在这个问题上找到的唯一一件事就是从1997年开始 (http://insecure.org/sploits/microsoft.asp.iis.html),所以我希望这里有人可能对这个话题有更多的了解:
有没有人知道IIS6中是否存在任何已知的漏洞,允许用户在获取服务器控制权之外查看未经处理的ASP或ASPX页面?
答案 0 :(得分:4)
如果从网站的应用程序映射中删除了这些扩展,或者如果你做了一些其他愚蠢的事情来配置它,那么IIS将只提供原始的asp或aspx。
答案 1 :(得分:1)
为什么要使用未经处理的asp页面?您可以只有一个链接来转义页面并将其放入用户的网页中。
对我来说,这将是一个潜在的安全风险,因为如果你忘了并留下了一个安全漏洞就会被看到。
答案 2 :(得分:1)
如果您没有正确设置脚本映射,这可能是一个问题,但这更多是部署时间问题,而不是运行时问题。
我认为这个领域的任何其他漏洞都与应用相关(选择一个文件下载服务器端......),而不是与平台相关。
答案 3 :(得分:1)
您是否担心人们能够看到您的源代码?如果是的话,我不会太担心它,特别是.net和使用代码隐藏文件,以及正确架构的n层网站。
真的,唯一一次关注的问题是,如果你的页面出现错误,你就会吐出调试代码,即使是使用经典的asp。