当***着***了你的网站,支持aspx,他就可以上传aspx大马,利用附带的功能iis spy可以看到web的路径iis密码 这样***这就可以跨目录,


禁止方法

“%SystemRoot%/system32/activeds.dll
“%SystemRoot%/system32/activeds.tlb

搜索这两个文件,把USER组和POWERS组去掉,只保留administrators和system权限。。如果还有其它组请全部去掉。。这样就能防止这种***列出所有站点的物理路径。。。