IIS對文件解析可以用ISAPI擴展。
有的網站在上傳檢測中會用"黑名單"方法,但是有時會忽略asa、cer、cdx擴展名文件上傳,以至於webshell上傳成功。
這是因爲默認情況下,IIS對其後綴名映射到了asp.dll,asp.dll又是ASP腳本的解析文件。
附圖(windows 2003 IIS6):
IIS6.0文件解析缺陷(asa,cer,cdx)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
IIS對文件解析可以用ISAPI擴展。
有的網站在上傳檢測中會用"黑名單"方法,但是有時會忽略asa、cer、cdx擴展名文件上傳,以至於webshell上傳成功。
這是因爲默認情況下,IIS對其後綴名映射到了asp.dll,asp.dll又是ASP腳本的解析文件。
附圖(windows 2003 IIS6):