很早就知道IIS6有个目录解析漏洞,就是新建一个名为 KCVG.ASP 的文件夹,再在这个文件夹放置任意文件,那么这个文件将被IIS错误的当成ASP解析。
网上有个叫“银月”的。自己动手丰衣足食,为了过滤一个 .asp/* 写了10条重写规则,我真是佩服人民的创造能力啊。
不过今天翻看服务器,例行进行漏洞测试,发现我机房的一批正版windows 2003 裸奔服务机器这个漏洞已经不存在了。。。不存在了啊。要知道,这个漏洞发现到微软官方修复起码也大半年了,暂且没有发现时哪个补丁修复的,如果我发现了,第一时间公布。