ASP漏洞分析和解决方法(10)

21 IIS4.0/IIS5.0超长文件名请求存在漏洞

　　漏洞描述：
　　受影响的版本:
Microsoft IIS 5.0
+ Microsoft Windows NT 2000
Microsoft IIS 4.0
+ Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
+ Microsoft BackOffice 4.0
- Microsoft Windows NT 4.0

　　当在一个已知的文件名后加230个"%20"再加个.htr，会使安装有Microsoft IIS 4.0/5.0泄漏该文件的内容。这是由ISM.dll
映射的.htr文件引起的.比如：
%20<重复230次>.htr
这种请求只有当.htr请求是第一次调用或者ISM.dll第一次装载进内存，才能起作用。

　　解决方法：
　　安装补丁：
Microsoft IIS 5.0:

Microsoft IIS 4.0: