IISは、「malicious.asp; .txt」をASPファイルとして実行します。なに?
IISサーバーでホストされている300以上のWebサイトがハッカーによって捕まえられた状況を調査しました。調査の結果、悪意のあるASPクラシックコードを含むテキストファイルが見つかりました。ファイルの名前はdz.asp;.txtで、IISが文句を言わずにこのファイルを喜んで実行したことに気付きました。
だから私の質問は:この動作は正常ですか? IISは、このファイルを.txtではなく.aspファイルとして扱うべきではありませんか?
IISには、名前にセミコロンが含まれる場合はセミコロンに先行するファイル名の部分によってファイルタイプを判別するという脆弱性があることが2009年に判明しました。
詳細については、 このNISTの説明 を参照してください。