Метод тестирования: создайте папку test.asp на FTP. Имя папки — test.asp. Загрузите файл hack.jpg в эту папку. Содержимое этого jpg может быть напрямую <%=now%>, а затем использовать IE. получите удаленный доступ к этому файлу hack.jpg, и вы обнаружите, что он также запускается как файл ASP! Очевидно, что если программа вашего веб-сайта позволяет пользователям создавать папки и загружать изображения, хакеры могут загружать изображения для запуска в качестве троянов ASP.
Решение. При настройке разрешения на выполнение напрямую измените каталог с разрешением на загрузку и отмените разрешение на запуск ASP, чтобы решить эту проблему.