J'ai enquêté sur une situation où plus de 300 sites Web hébergés sur un serveur IIS ont été pwnés par un pirate informatique. L'enquête m'a conduit à un fichier texte contenant du code malveillant ASP-Classic. Le fichier s'appelait dz.asp;.txt
et je viens de me rendre compte que IIS exécutait ce fichier sans problème, sans se plaindre.
Ma question est donc la suivante: ce comportement est-il normal? IIS ne devrait-il pas traiter ce fichier comme un fichier .txt
au lieu de .asp
?
En 2009, il a été constaté que IIS présentait une vulnérabilité en ce sens qu'il déterminait le type de fichier par la partie du nom de fichier précédant un point-virgule, le cas échéant.
Voir cette description NIST pour plus de détails.