Les surfeurs se connectant sur IIS peuvent lire le contenu de chaque fichier de NTFS (NT File system) dans une directory d'IIS où ils ont un 'read access' (pour plus d'infos techniques :
http://www.microsoft.com/technet/security/bulletin/ms98-003.asp ).

Les fichiers ASP sont traités par un 'agent' sur le serveur, plutôt que simplement renvoyé le contenu comme c'est le cas avec les fichiers HTML. Normalement, le contenu direct des fichiers ASP ne devrait pas être renvoyé
vers l'utilisateur. Cependant  en rajoutant ::$data après 'nompage.asp', un browser peut obtenir le contenu du fichier script.

En supposant que le script est : http://www.votresite.com/votrepage.asp
Essayez : http://www.votresite.com/votrepage.asp::$DATA. Si vous savez lire le code c'est que votre serveur n'est pas protégé contre ce bug. Cela peut être fort dommageable, par exemple, dans le cas où le fichier contiendrait des données sensibles comme des mots de passe, des configurations de DSN, etc.. Ensuite il ne faut pas oublier que l'attrait principal d'ASP est l'invisibilité du code source des yeux indiscrets des concurrents.
Il y a deux solutions pour résoudre ce bug.

1.       Downloader Le service pack d'IIS   http://support.microsoft.com/default.aspx?pr=ntw40  

2.      Il ne faut permettre au niveau des directory ASP qu'un accès en 'execute' et surtout pas en read. Cela se change via l'explorateur de NT en changeant les propriétés du folder de votre site. Cette solution enlèvera à tout jamais la possibilité au surfeur d'avoir accès à votre code source.
 
Si vous n'avez pas encore arrangé ce 'vieux' problème sur votre serveur web, il est plus que temps de s'y mettre !!!!! Comme on dit outre atlantique « Happy programming »..