A.微軟的IIS 6存在嚴(yán)重解析文件名錯(cuò)誤

     測(cè)試辦法：在FTP中建立一個(gè) test.asp 的文件夾，文件夾名就是 test.asp ，在這個(gè)文件夾中上傳一個(gè) hack.jpg，這個(gè)jpg的內(nèi)容可以直接是，然后，用IE遠(yuǎn)程訪問這個(gè)hack.jpg，你可以發(fā)現(xiàn)，它一樣被當(dāng)作是ASP文件來運(yùn)行！顯然，只要你的網(wǎng)站程序，允許用戶自己建立文件夾及上傳圖片，黑客就可以上傳圖片來當(dāng)作ASP木馬來運(yùn)行。

    解決辦法：所有使用新業(yè)在線虛擬主機(jī)管理平臺(tái)的虛擬主機(jī)用戶，可以在主機(jī)面板，主機(jī)目錄寫權(quán)限設(shè)置，直接將有上傳權(quán)限的目錄，取消整站寫權(quán)限，就可以解決這個(gè)問題。

可以參考其他公司的同類公告：
http://www.powereasy.net/Announce/3004.html(動(dòng)易) 

B. 操作步驟：

會(huì)員登陸----> 虛擬主機(jī)主機(jī)管理 ----> 選對(duì)應(yīng)的網(wǎng)站 高級(jí)功能進(jìn)入  --> 
主機(jī)目錄寫權(quán)限設(shè)置(系統(tǒng)支持設(shè)置指定的目錄取消寫權(quán)限。對(duì)安全要重要意義，例如防止黑客上傳ASP木馬到圖片或頭像目錄去運(yùn)行)  -->
取消整站寫權(quán)限(本系統(tǒng)支持全國(guó)首創(chuàng)的設(shè)置，允許關(guān)閉寫入權(quán)限，鎖定虛擬主機(jī)。
對(duì)安全有重要意義，例如可以將ACCESS放在db目錄，
而將web目錄的寫入關(guān)閉， 令到ASP木馬根本無法上傳，這樣比關(guān)閉FSO更安全。

請(qǐng)注意，關(guān)閉寫入權(quán)限的同時(shí)會(huì)令到FTP的上傳功能同時(shí)關(guān)閉。
子目錄綁定了域名的網(wǎng)站同時(shí)會(huì)被鎖定)

C. 對(duì)于動(dòng)易和動(dòng)網(wǎng)等常用ASP論壇、管理程序，請(qǐng)定時(shí)的查看程序開發(fā)商的安全公告，及時(shí)進(jìn)行程序更新，也有利于減少網(wǎng)頁(yè)被黑和掛木馬等。 

D. 以上資料還不是很完全，如大家有更好的處理方式，歡迎聯(lián)系我們。謝謝。

當(dāng)然，我們提供的，只是從空間角設(shè)制度來進(jìn)行的一些措施，對(duì)真正的程序漏洞，最完美的解決辦法，仍是找到漏洞，修補(bǔ)好網(wǎng)頁(yè)漏洞！