При добавлении к имени запрашиваемого файла (в т.ч. закрытого для доступа) +.htr может быть выдано содержимое файла.
Пример:
http://www.victim.com/global.asa+.htr

Microsoft уже выпустила патчи для защиты от этой напасти — певый для четвертого IIS, второй — для пятого.
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22709http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22708



Оставить мнение