对于那些允许注册帐号的网站来说，在网站程序编写的时候，程序员通常为了管理方便，便以注册的用户名为名称来建立一个文件夹，用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点，特意通过网站注册一个以.asp、.asa、.cdx或者.cer的后续名作注册名，然后通过如把含有木马的asp文件的.asp后缀改成.jpg等方法，把文件上传到服务器，由于iis6漏洞，jpg文件可以通过iis6来运行，木马也随着运行，达到了攻击网站的目的，这种情况，可以由程序员对注册用户名称进行限制，排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外，要阻止用户对文件夹进行重命名操作。

　　这种方法在一定程度上可以防范一些攻击行为，但是这种方法实现起来非常麻烦，网站的开发人员在程序安全性方面必须掌握相当好的技术，并且必须要对整个网站涉及文件管理方面的程序进行检查，一个网站少则几十，多则上千个文件，要查完相当费时，并且难免会漏掉其中一两个。

　　另外，目前有很多现成的网站系统只要下载后上传到空间就可以用，开发这些现有网站系统的程序员技术水平参差不齐，难免其中一些系统会存在这种漏洞，还有相当一部分系统的源码是加密过的，很多站长想改也改不动，面对漏洞无乎无能为力。