MS IIS虛擬機器主機ASP源碼泄露 (MS,缺陷)

iis|虛擬機器主機 涉及程式：
MS windows NT/IIS

描述：
共用目錄導致ASP程式源碼泄露

詳細：
如果一個虛擬機器主機的根目錄是映射到一網際網路共用目錄，通過在ASP或者HTR副檔名後增加某些特殊字元，IIS伺服器將反送出這個asp
或者htr檔案的全部原始碼。如果IIS的檔案安裝在本地磁碟機上，就沒有該泄漏源碼這個問題。

在虛擬目錄檔案中的asp檔案後增加一個符號"\",IIS就會泄漏該asp檔案原始碼。
例如，如果虛擬目錄/asp/映射到共用資料夾的\\server1\share目錄,在該共用目錄下存在asp程式：\\serve1
\share\index.asp
通過: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80
GET /asp/index.asp\ HTTP/1.1

將會返回index.asp的原始碼。

在國內，似乎很少有人將web目錄映射到共用資源上

解決方案：
建議不要用共用資源的方式建立ASP網站
Microsoft IIS 5.0（中文版本）:

Microsoft patch Q249599_W2K_SP1_X86_cn
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE


Microsoft IIS 5.0（英文版本）:
Microsoft patch Q249599_W2K_SP1_X86_en
http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE

from:http://www.cnns.net/article/db/205.htm