# 安全 ## IIS解析漏洞告警及處理方案 云鼎實驗室在日常安全運營中發現，寶塔 Windows 面板默認安裝的 IIS+PHP 環境存在 IIS 解析漏洞，攻 擊者可以在任意文件上傳點上傳一個包含著惡意 PHP 代碼的文件（圖片、TXT、壓縮包等）后，通過利用 IIS 解析 漏洞即可執行 PHP 代碼，可能會導致用戶代碼、數據庫泄露。 如果您通過寶塔安裝了IIS，就會產生一個IIS的解析漏洞，您需要做出如下修改： 1.修改由IIS在根目錄中自動生成“web.config”的文件（路徑：“C:\inetpub\wwwroot”），將“resourceType”對應的"Unspecified"修改為“File”。 2.如果您新建了網站中包含了web.config文件，也需要做出上述修改 .............................................................. 如果安裝了IIS，又安裝了PHP，您需要修改如下配置： 1. 打開“C:\Windows\System32\inetsrv\config\applicationHost.config”文件 2. 將“<add name="PHP_FastCGI" path="*.php" verb="*" modules="FastCgiModule" scriptProcessor="C:\BtSoft\WebSoft\php\5.4\php-cgi.exe" resourceType="Unspecified" />”中“resourceType”對應的"Unspecified"修改為“File”。 以上路徑以PHP5.4為例，如果安裝了多個php版本，每個PHP目錄均需要進行修改