web-dev-qa-db-fra.com

IIS exécute "malware.asp; .txt" en tant que fichier ASP. Qu'est-ce que

J'ai enquêté sur une situation où plus de 300 sites Web hébergés sur un serveur IIS ont été pwnés par un pirate informatique. L'enquête m'a conduit à un fichier texte contenant du code malveillant ASP-Classic. Le fichier s'appelait dz.asp;.txt et je viens de me rendre compte que IIS exécutait ce fichier sans problème, sans se plaindre.

Ma question est donc la suivante: ce comportement est-il normal? IIS ne devrait-il pas traiter ce fichier comme un fichier .txt au lieu de .asp?

2
Salman A

En 2009, il a été constaté que IIS présentait une vulnérabilité en ce sens qu'il déterminait le type de fichier par la partie du nom de fichier précédant un point-virgule, le cas échéant.

Voir cette description NIST pour plus de détails.

3
mgkrebbs