中文(繁体)
測試方法:在FTP中建立一個test.asp 的資料夾,資料夾名稱就是test.asp ,在這個資料夾中上傳一個hack.jpg,這個jpg的內容可以直接是<%=now%>,然後,用IE遠端存取這個hack.jpg,你可以發現,它一樣被當作是ASP檔案來運作!顯然,只要你的網站程序,允許用戶自己建立資料夾及上傳圖片,駭客就可以上傳圖片來當作ASP木馬來運行。
解決方法:設定執行權限選項中,直接將有上傳權限的目錄,取消ASP的運作權限,就可以解決這個問題。
