不知道这是否是默认行为,但是在我们的Windows Server 2008 R2盒子之一中,我们发现其中一个网站的.cer文件位于名为/ scripts的文件夹下。
.cer文件包含ASP脚本,它允许入侵者浏览服务器上的ENTIRE文件系统,删除文件,创build文件等。
我们已经确定了如何创build这个文件的安全问题(FCKEditor安全漏洞),但是当浏览到:
HTTP://site/cert.cer
.cer文件作为ASP脚本执行。
检查处理程序映射后,我们看到.cer被映射到%windir%\ system32 \ inetsrv \ asp.dll,这解释了为什么ASP脚本正在执行。
这是IIS 7.5的默认行为,当然这是一个安全风险?
这个映射在IIS7中是默认的。 * .asp和* .cer都映射到asp.dll。 它们是默认映射到经典ASP的唯一两个扩展。
我不确定.cer默认的原因。 这显然是传统ASP的传统,但我没有亲自需要直接在经典ASP调用.cer扩展。
根据你的情况,我会说,你应该删除.cer映射,并testing确保您的经典ASP网站仍然工作。 如果确实如此,请确保删除所有现有服务器和新服务器上的映射。
只要你不把.cer文件留在你的站点path中,它就不会打开.asp。 但是,您的特定漏洞利用了.cer扩展名,所以您应该明智地删除他们将使用的任何可能的门。