简单的叙述一下IIS解析漏洞给网站带来的隐患，利用上传图片的方式就可以拿下你的目录！

第一种：在网站目录下建立任何 *.asp或者*.php 文件夹（也就是 aa.asp或者shell.php之类，有的可能PHP不支持，下面也是）文件夹，其目录下的所有文件都会被当做asp或者php脚本文件去执行，也就是说：它目录下的abc.jpg 都会被当做脚本文件去解析。
这样就非常可怕了。当用户用记事本把 11.jpg 打开，然后里面写入ASP的木马程序，那就可以顺理成章的去执行 abc.jpg 了。也就是在地址栏输入：http://www.sky00.com/aa.asp/abc.jpg 就可以被当做 asp 去执行。
其实一般而言这种漏洞在普通网站中并不常见，因为很多应用中，用户没有自己创建目录的权限（当然这是需要相当大的权限的）。

第二种：就是利用上传漏洞。老版本的 fckeditor,以及其他编辑器、上传组件基本都存在的漏洞（准确的说判断这个漏洞不应该交给他们去处理，他们只负责了上传，有的fck上传上去会给文件名字加下划线，这样你重新上传原来的东西就不会有下划线了，有下划线不执行！）
比如：将一个asp木马的后缀改为：leo.asp;.jpg 这样的。在IIS下，这样的东西也会被当做asp程序去执行。因为他不会识别分号后面的东西，也就是不会执行分后后面的.jpg，自然而然就成了leo.asp！
用户通过编辑器、其他上传文件的程序，上传一个文件名为：leo.asp;.jpg 的文件，然后就可以通过URL去访问：http://www.sky00.com/上传目录/muma.asp;.jpg 去直接执行木马程序!至于上传目录你可以抓包看或者审查代码看等..

解决办法：
1、普通程序禁止用户创建目录，或者严格判断目录的格式，只能为数字或者英文字符。
2、对上传的文件进行重命名，比如用户上传了一个 leo.asp;.jpg 的文件，重命名之后会得到 201400202029.jpg 的文件。