不确定这是否是默认行为,但是在我们的一个 Windows Server 2008 R2 机器上,我们注意到我们的一个网站在名为 /scripts 的文件夹下有 .cer 文件。
.cer 文件包含 ASP 脚本,允许入侵者浏览服务器上的整个文件系统、删除文件、创建文件等。
我们已经确定了此文件如何被创建的安全问题(FCKEditor 安全漏洞),然而当浏览到:
.cer 文件作为 ASP 脚本执行。
检查处理程序映射后,我们发现.cer 映射到 %windir%\system32\inetsrv\asp.dll,这解释了为什么 ASP 脚本被执行。
这是 IIS 7.5 的默认行为吗?这肯定是一个安全风险吗?
答案1
IIS7 中默认存在该映射。*.asp 和 *.cer 都映射到 asp.dll。它们是默认映射到 Classic ASP 的仅有的两个扩展名。
我不确定默认使用 .cer 的原因。这显然是 Classic ASP 的遗留问题,但我个人不需要在 Classic ASP 中直接调用 .cer 扩展。
根据您的情况,我认为您应该删除 .cer 映射并进行测试,以确保您的 Classic ASP 站点仍然有效。如果可以,请确保在所有现有和新服务器上删除该映射。
只要您不将 .cer 文件留在站点路径中,它就不会打开比 .asp 更多的文件。但是,您的特定漏洞利用了 .cer 扩展名,因此您最好移除他们可能使用的任何门。