При добавлении к имени запрашиваемого файла (в т.ч. закрытого для доступа) +.htr может быть выдано содержимое файла.
Пример:
http://www.victim.com/global.asa+.htr

Microsoft уже выпустила патчи для защиты от этой напасти - певый для четвертого IIS, второй - для пятого.
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22709http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22708

Оставить мнение