发信人: hp()
整理人: snowypeng(2002-05-23 09:25:18), 站内信件
|
微软 IIS 3.0 支持服务器端采用 .asp 文件格式的脚本程
序。这些程序因可能含有敏感信息,因此对用户来说应该是
不可见的。但如果在网址 .asp 的后面加上一个或多个句点
“·”,用户就可看到程序源代码了。后来,微软承认了这
一漏洞的存在并推出了名为 hot-fix 的修补程序。不想
hot-fix 堵上了此漏洞,却又引发了彼漏洞,用户只要用
“%2e”替换 URL中的“·”, 同样能看到程序源代码。那
些没有安装 IIS 3.0 hot-fix 的网站不会受到“%2e”字符
的困扰,但是它们仍得面对“·”这个讨厌的尾巴。
--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: 202.96.190.97]
|
|