涉及程序：

MS windows NT/IIS

描述：

共享目录导致ASP程序源码泄露

详细：

如果一个虚拟主机的根目录是映射到一网络共享目录，通过在ASP或者HTR扩展名后增加某些特殊字符，IIS服务器将反送出这个ASP

或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上，就没有该泄漏源码这个问题。

在虚拟目录文件中的ASP文件后增加一个符号"\",IIS就会泄漏该ASP文件源代码。

例如，如果虚拟目录/ASP/映射到共享文件夹的\\server1\share目录,在该共享目录下存在ASP程序：\\serve1

\share\index.ASP

通过: http://www.xxx.com/asp/index.asp或者 telnet www.xxx.com 80

GET /ASP/index.ASP\ HTTP/1.1

将会返回index.ASP的源代码。

在国内，似乎很少有人将web目录映射到共享资源上

解决方案：

建议不要用共享资源的方式建立ASP站点

Microsoft IIS 5.0（中文版本）:

Microsoft patch Q249599_W2K_SP1_X86_cn

http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/CN/Q249599_W2K_SP1_X86_cn.EXE

Microsoft IIS 5.0（英文版本）:

Microsoft patch Q249599_W2K_SP1_X86_en

http://download.microsoft.com/download/win2000platform/Patch/Q249599/NT5/EN-US/Q249599_W2K_SP1_X86_en.EXE

from:http://www.cnns.net/article/db/205.htm