IIS对文件解析可以用ISAPI扩展。
有的网站在上传检测中会用"黑名单"方法,但是有时会忽略asa、cer、cdx扩展名文件上传,以至于webshell上传成功。
这是因为默认情况下,IIS对其后缀名映射到了asp.dll,asp.dll又是ASP脚本的解析文件。
附图(windows 2003 IIS6):
IIS对文件解析可以用ISAPI扩展。
有的网站在上传检测中会用"黑名单"方法,但是有时会忽略asa、cer、cdx扩展名文件上传,以至于webshell上传成功。
这是因为默认情况下,IIS对其后缀名映射到了asp.dll,asp.dll又是ASP脚本的解析文件。
附图(windows 2003 IIS6):