Gün geçmesin IIS’de bir açık bulunmasın. Son karşılaşılan açıklardan biri de script veya diğer zararlı dosyaların, ‘;.’ karakterleri ile ayrılarak sonuna başka bir uzantı eklenip siteye ‘upload’ edilip, doğrudan link ile çağrılarak çalıştırılabilmesi.

Örneğin, bir ‘asp’ dosyası sonuna ‘;.jpg’ eklenip, imaj upload edilebilen bir siteye ‘upload’ edilerek, link halinde çağrılınca, eğer IIS asp script çalıştırmaya izin veriyorsa, sondaki ‘;jpg’ uzantısını es geçerek onu bir script dosyası olarak algılayıp çalıştırıyor.

http://www.examplesite.com/images/gallery/example.asp;.jpg

Kaynak:  http://isc.sans.org/diary.html?storyid=7810