关闭

Web 目录枚举与遍历漏洞解决

标签: web网站目录枚举目录遍历安全漏洞
5494人阅读 评论(0) 收藏 举报
分类:

“目录枚举漏洞”解决方法

一、名词解释
网站目录枚举漏洞:指黑客利用非法攻击手段扫描符合“8.3”命名原则的目录与文件。

二、验证工具:scanner-compiled

三、验证方法
这里写图片描述
图 1
四、解决方法

1、打开注册表,进入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem,新建 DWORD值 NtfsDisable8dot3NameCreation,选择十六进制,修改值为 1,如下所示:
这里写图片描述
图 2

2、重启系统使得修改生效.(该步骤不能省)
3、将存在隐患的目录重新发布(相当于重新写文件或写目录,此时生成的文件或目录不会按“8.3”原则命名,即黑客攻击时扫描不出符合的文件)

五、验证结果:

1、修改前截图如下:
这里写图片描述
图 3

2、修改后截图如下:
这里写图片描述
图 4

结论:上述步骤经验证是可解决问题的。

备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)

“目录遍历漏洞”解决方法

一、名词解释
网站目录遍历漏洞:指程序中未过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以
通过提交目录跳转来遍历服务器上的任意文件。

二、验证工具:webcruiser-v2.40

三、验证方法
这里写图片描述
四、解决方法
1、右键点击站点,选择“属性”,在“虚拟目录”选项卡中取消“目录浏览”勾选,点击“确
定”,如图所示:
这里写图片描述

五、验证结果
修改前 Xpath Injection 注入扫描结果:
这里写图片描述
修改后 Xpath Injection 注入扫描结果:
这里写图片描述
结论:上述步骤经验证是可解决问题的。

备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:14389506次
    • 积分:4937
    • 等级:
    • 排名:第6492名
    • 原创:60篇
    • 转载:14篇
    • 译文:1篇
    • 评论:20条