（code.asp文件会泄漏ASP代码）



　　问题描述：

　　举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件，专门用来查看其它 .asp 文件的源代码，该文件为ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器，而服务器端没有任何防范措施的话，他就可以很容易地查看他人的程序。例如：

　　code.asp?source=/directory/file.asp

　　不过这是个比较旧的漏洞了，相信现在很少会出现这种漏洞。

　　下面这命令是比较新的：

http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp

　　最大的危害莫过于asa文件可以被上述方式读出；数据库密码以明文形式暴露在黑客眼前。 



　　问题解决或建议：

　　对于IIS自带的show asp code的asp程序文件，删除该文件或者禁止访问该目录即可。