受影响系统：

Microsoft IIS 5.0

+ Microsoft Windows NT 2000.0

Microsoft IIS 4.0

+ Microsoft Windows NT 4.0

- Microsoft BackOffice 4.5

- Microsoft Windows NT 4.0

Microsoft IIS 3.0

+ Microsoft Windows NT 4.0

描述：

ASP程序本身或是它的构件出错的话，会返回ASP中include文件的路径信息.这些文件可下载，并有可能包含象数据库(.mdb)位置,站点和网络结构，还有您的商业(交易)模式。

在某些情况下，那些不完善的.asp页面可被搜索引擎排序，攻击者就可以通过搜索字符串如："Microsoft VBScript runtime error"来找出该页面来。甚至在修改过ASP代码后，仍有可能通过搜索引擎的cache来查看相关的文档备份，由此而得到必需的信息。

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

在错误信息中找出包含文件的路径。

例如错误信息为: "Microsoft VBScript runtime error ''800a0005'' Invalid procedure call or argument: ''mid'' /common/browser.inc, line 4..."

则可将此文件名与路径加到URL后，如:

http ://target/common/browser.inc

建议：