【安全漏洞-IIS】IIS短文件名泄露漏洞

最新推荐文章于 2024-05-24 09:38:43 发布
最新推荐文章于 2024-05-24 09:38:43 发布
阅读量4k 收藏 2
点赞数
分类专栏: 安全 文章标签: iis 短文件 漏洞

1)通用有效方法:

禁用windows系统中的短文件名功能。
打开注册表并打开此目录 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改 NtfsDisable8dot3NameCreation 的值为1 。
修改完成后,需要重启系统生效。

2)简单有效方法:CMD命令

Windows Server 2008 R2
查询是否开启短文件名功能:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1

Windows Server 2003
关闭该功能:fsutil behavior set disable8dot3 1

3)手动验证
新建文件夹并创建几个文件,打开CMD进入该文件夹呢执行dir /x 检测,看不到有显示短文件名则成功。

注: 1.Windows Server 2003修改后需要重启服务器生效!
2.已存在的文件短文件名不会取消,只对以后创建的文件有效!
3.WEB站点需要将内容拷贝到另一个位置,
如D:\www到D:\www.back,然后删除原文件夹D:\www,再重命名D:\www.back到D:\www。
如果不重新复制,已经存在的短文件名则是不会消失的。

bency
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】IIS文件名泄露解决办法
沧月
09-28 5833
Windows下查看对应的文件名,可以使用如下命令dir /x。
Web安全-IIS文件名泄露
道阻且长,行则将至。
02-28 7653
漏洞的成因 为了兼容16位MS-DOS程序,Windows文件名较长的文件(和文件夹)生成了对应的windows 8.3 文件名。 在Windows下查看对应的文件名,可以使用命令dir /x。 比如,我在D盘下创建了一个名为aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html文件: D:\>dir /x 驱动器 D 中的卷是 Data 卷的序列号是 3EDF-...
探索IIS服务器的文件名利器 —— Shortscan
最新发布
gitblog_00096的博客
05-24 495
探索IIS服务器的文件名利器 —— Shortscan 项目地址:https://gitcode.com/bitquark/shortscan 项目介绍 在网络安全的世界中,Shortscan是一款专门针对IIS(Internet Information Services)网络服务器设计的文件名枚举工具。它能够快速识别出存在服务器上的文件名,并尝试自动确定这些文件的完整名称。特别值得一提的是...
关于 IIS文件名泄露漏洞
zcfeng
11-11 6720
IIS文件名漏洞修补
IIS文件名漏洞修复
qq_24851835的博客
06-08 1580
IIS文件名漏洞解决办法
IIS目录名枚举漏洞修复
Zola的博客
03-28 1605
IIS目录名枚举漏洞修复
漏洞笔记】IIS文件名漏洞原理以及修复方法
wangjunlei的专栏
04-16 2753
但是漏洞发现者Soroush Dalili之后再次在IIS7.5和IIS8.0的版本中发现,当使用OPTIONS来代替GET 方法时,如果请求中的文件名是存在的,IIS会返回一个不一样的错误信息。攻击者如果在文件夹名称中发送一个不合法的.Net文件请求,
IIS文件名漏洞利用工具
07-31
漏洞利用工具的主要功能是对IIS服务器上的URL进行扫描,检查是否存在文件名泄露的风险。工具的工作原理可能包括但不限于以下步骤: 1. **路径遍历**:工具会尝试不同的路径组合,如“/dir/..”或“/dir/../”,...
iis 文件名泄露 验证工具
06-25
3. **系统漏洞**:IIS可能存在未修补的安全漏洞,使得攻击者可以利用文件名获取敏感信息。 ### 三、危害 1. **信息泄露**:攻击者可以获取系统中隐藏的文件名,包括配置文件、数据库连接字符串等敏感信息。 2. *...
IIS文件名漏洞利用工具.zip
05-12
标题中的"IIS文件名漏洞利用工具"指向的是一个针对微软Internet Information Services(IIS)服务器的安全漏洞IISWindows操作系统中广泛使用的Web服务器,它处理HTTP、HTTPS和其他网络协议,为用户提供网页...
IIS文件名泄漏漏洞利用工具下载
03-05
IIS中存在一种安全漏洞,称为“文件名泄漏漏洞”,它允许攻击者通过特定的请求来揭示系统中的文件名,这可能导致敏感信息的泄露,进一步可能被用于入侵系统的其他部分。 ### 漏洞原理 IIS支持DOS时代的8.3...
个人网站留言板功能(有管理功能支持删除等)
06-16
个人网站啦留言板 支持管理功能 删除等,自己配置完IIS自己看看吧 还是很好用的
基于“IIS文件名泄露漏洞谈网络安全问题防范.pdf
09-19
基于“IIS文件名泄露漏洞谈网络安全问题防范.pdf
网络安全-IIS文件名枚举漏洞
lc545205的博客
04-03 2298
IIS-ShortName-Scanner下载链接: 提取码:5lcqpython版本的需要安装python27环境: 提取码:h2orjava版本的需要安装jdk环境: 提取码:jl58。
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 1413
IIS文件名漏洞原理以及修复方法
IIS文件猜解
浅笑996的博客
11-18 2901
1.IIS文件漏洞 Microsoft IIS 文件/文件夹名称信息泄漏最开始由Vulnerability Research Team(漏洞研究团队)的Soroush Dalili在2010年8月1日发现,并于2010年8月3日通知供应商(微软公司)。微软公司分别于2010年12月1日和2011年1月4日给予答复下个版本修复。2012年6月29日,此漏洞公开披露(中危)。 此漏洞实际是由HTT...
IIS文件泄漏漏洞修改_iis文件名泄露 怎么设置,2024年最新网络安全岗面试12家大厂成功跳槽
wdsfgj的博客
04-15 485
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!不同系统关闭命令稍有区别,该功能默认是开启的,对于大多数用户来说无需开启。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。
iis6.0渗透实战笔记
weixin_42345596的博客
05-31 1711
IIS IIS从1.0-10.0之间共有12个版本,1.0-4.0已基本退出市场,6.0-10.0居多。IIS7.5、IIS8.5以及IIS10.0、IIS6.0是目前使用最多的版本. IIS版本对应的Windows系统版本如下: IIS6.x渗透 准备环境:Windows server 2003 IP:192.168.173.194 接下来先搭环境 双击这里,进去之后点确定,默认选中的那三个,接着点击确定 点击下一步之后,出现了报错,这代表操作系统无法找到可用的iis6.0安装包,这里把
IIS服务器】IIS服务器常见漏洞
时乙的博客
11-05 4169
文件解析漏洞 1、目录解析漏洞 2、文件名解析漏洞 3、畸形解析漏洞 IIS 文件漏洞 PUT 任意文件写入 IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统文件解析漏洞 1、目录解析漏洞IIS5.x/6.0 中,默认会将**.asp(*.asa、*.cer、*.cdx )目录下的.
iis文件名泄露漏洞工具
09-08
文件名泄露漏洞是指在IIS(Internet Information Services)服务器上,存在一种漏洞可以通过发送特定请求获得服务器上的文件名信息。 该漏洞可以被黑客利用来获取服务器上的敏感文件名,进而进行其他恶意行为,如尝试访问这些文件、通过获得的信息进行进一步的入侵等。 为了测试和检测这种漏洞,一些安全研究人员和工具开发者开发了一些工具,可以模拟这种漏洞,并帮助系统管理员进行修复和防护。 这些工具可以通过发送特定的请求来检测IIS服务器是否存在文件名泄露漏洞。一旦漏洞被发现,管理员可以采取相应的措施来修复漏洞,如更新IIS服务器的补丁、关闭文件名功能等,以增强服务器的安全性。 这些工具通常被设计为简单易用,可自动化检测和修复漏洞,帮助系统管理员降低风险并避免可能的攻击。 总之,IIS文件名泄露漏洞工具可以帮助系统管理员快速检测和修复这种漏洞,提高服务器的安全性,保护系统和用户的敏感数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值