Возможно ли, чтобы IIS 6 обслуживал необработанные страницы ASP / ASPX? - PullRequest
1 голос
/ 05 мая 2009

Единственное, что мне удалось найти по этому вопросу, - это пост 1997 года. (http://insecure.org/sploits/microsoft.asp.iis.html),, поэтому я надеялся, что кто-то здесь может иметь более свежие знания по этой теме:

Кто-нибудь знает, существуют ли какие-либо известные уязвимости в IIS6, которые позволяют пользователю просматривать необработанные страницы ASP или ASPX, не получая контроль над сервером?

Ответы [ 4 ]

4 голосов
/ 05 мая 2009

IIS будет обслуживать необработанные asp или aspx, только если эти расширения удалены из сопоставлений приложений для сайта или если вы сделали какую-то другую глупую вещь, чтобы настроить его таким образом.

1 голос
/ 05 мая 2009

Вы обеспокоены тем, что люди могут видеть ваш исходный код? Если это так, я бы не стал сильно беспокоиться об этом, особенно в отношении .net и использования кода за файлами, а также правильно спроектированного многоуровневого сайта.

Действительно, единственное время, когда это беспокоит, это если у вас есть ошибка на вашей странице, и вы выплевываете код отладки, даже с классическим asp.

1 голос
/ 05 мая 2009

Если у вас не настроены сопоставления сценариев должным образом, это может быть проблемой, но это больше касается времени развертывания, а не времени выполнения.

Я думаю, что любые другие уязвимости в этой области будут связаны с приложением (выбор файла для загрузки на стороне сервера ...), а не столько с платформой.

1 голос
/ 05 мая 2009

Зачем вам необработанные страницы asp? Вы могли бы просто иметь ссылку, которая покинет страницу и поместит ее на веб-страницу для пользователя.

Для меня это будет потенциальная угроза безопасности, так как если бы вы забыли и оставили уязвимость безопасности, это было бы видно.

...