针对iis6.0的解析bug:

如果你的服务器支持.NET那就要注意了，aspxspy的网页有个功能叫：IISSpy，点击以后可以看到所有站点所在的物理路径。一般设置单用户权限即可屏蔽，但是有时不管事，仔细看看他的利用方法，不过如此，我们也可以做如下简单设置:
%SystemRoot%/ServicePackFiles/i386/activeds.dll
%SystemRoot%/system32/activeds.dll
%SystemRoot%/system32/activeds.tlb
搜索这两个文件，把USER组和POWERS组去掉，只保留administrators和system权限..如果还有其它组请全部去掉..这样就能防止这种木马列出所有站点的物理路径。



解决方法：
一、能上传的目录给IIS不允许执行脚本的权限。
二、利用其它带文件防护功能的软件防止*.asp;*.jpg写入文件。
三、所有目录允许读取，只要是写入的文件夹在IIS里请将脚本改为无。如果没有服务器的朋友，那被传马那也没办法了，除非你可以协调空间商帮你做这些操作..