早前有暴出一个IIS6.0下文件名解析漏洞,遇到http://www.xxx.com/uppic/1.asp/xiaoma.jpg这种格式会自动解析成asp文件执行。此漏洞产生在IIS6.0,处理文件夹扩展名出错导致以.asp命名的文件夹后面的文件直接以asp代码执行。所以无论*.asp文件夹后面是什么格式的文件都被当作ASP程序执行。
最近又暴出一个新的文件名漏洞,导致上传xm.asp;jpg或者xm.asp;.jpg文件就可以得到网站的webshell.中间的分号的作用是文件名截断从而得到一个可执行文件。这又给网络安全带来一个不小的风波!
所以大家写程序时候一定要注意了。
