IIS短文件名漏洞修复

最新推荐文章于 2024-05-24 09:38:43 发布
最新推荐文章于 2024-05-24 09:38:43 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ganbitao/article/details/51822795
版权

2016年7月4日18:21:05

用绿盟漏扫,扫出服务器存在IIS短文件名漏洞。上网搜索出的可行的解决方法。

步骤:

  1. 安装.net4.0。注:提示缺少wic,搜索下载安装即可。
  2. 修改注册表:HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1。直接搜索NtfsDisable8dot3NameCreation,修改其值为1。
  3. 重启服务器!重启服务器!重启服务器!
  4. 手动为网站更换主目录路径,站点程序所在文件夹必须是新建的。可以先新建文件夹,将所有文件复制过去,再在IIS里更改主目录路径为刚才新建的文件夹;或者直接在当前路径下复制旧文件夹,重新命名,再在IIS更改主目录路径。
  5. 重新漏扫!重新漏扫!重新漏扫!

华府9527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS 文件名漏洞修复中可能存在异常
mystonelxj的博客
04-12 64
本文总结了在IIS 文件名漏洞修复过程中可能存在的一些异常,及可能的解决方案,可作为IIS 文件名漏洞的整改操作一文的辅助材料。
IIS 文件名漏洞的整改操作
mystonelxj的博客
04-10 143
默认情况下,Windows系统采用了 8.3文件格式的支持,也就是说,对于一些长名称文件,系统自动提供了DOS 8.3名称约定(SFN)的代字符(〜)方式的查看方式,而IIS默认情况下并未对这种情况做相应限制,这就造成网络黑客可以 利用该漏洞,基于网站公开发布信息,利用工具查看在 Web 根目录下公开文件和文件夹名称。这回造成网站所在单位不必要的信息泄露。只有采用有效的整改步骤,才能必要相关损失。
探索IIS服务器的文件名利器 —— Shortscan
最新发布
gitblog_00096的博客
05-24 518
探索IIS服务器的文件名利器 —— Shortscan 项目地址:https://gitcode.com/bitquark/shortscan 项目介绍 在网络安全的世界中,Shortscan是一款专门针对IIS(Internet Information Services)网络服务器设计的文件名枚举工具。它能够快速识别出存在服务器上的文件名,并尝试自动确定这些文件的完整名称。特别值得一提的是...
php iis文件名泄露漏洞如何修复,IIS文件名漏洞复现图文详解
weixin_32566055的博客
03-29 381
一、漏洞描述此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。二、漏洞原理IIS文件名机制,可以暴力猜解文件名,访问构造的某个存在的文件名,会返回404,访问构造的某个不存在的文件名,返回400。...
文件名漏洞如何修复_IIS文件名泄露漏洞修复解决方案?
weixin_39873325的博客
12-21 2865
一、IIS文件名泄露漏洞简介InternetInformationServices(IIS,互联网信息服务)是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。020危害:攻击者可以利用“~”字符 猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFrame...
文件名漏洞如何修复_IIS文件名暴力猜解漏洞修复方法
weixin_39997194的博客
12-21 407
1、登录Windows系统,打开注册编辑器,修改此路径[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]下NtfsDisable8dot3NameCreation的值,默认值为0,修改为1,并重启计算机。​2、修改注册表键值,重启后,并不代表系统里就不存在文件名,以前创建的文件依然存在文件名,之后创建的文件将不会存在...
服务器iis文件名漏洞,IIS文件名漏洞分析及一个实例
weixin_29271263的博客
08-12 965
漏洞成因为兼容16位MS-DOS程序,Windows为文件名较长的文件(文件夹)生成了对应的windows8.3文件名。并且在Windows下查看对应的文件名,可以使用命令 dir /x。此漏洞实际是由HTTP请求中旧DOS 8.3名称的代字符(〜)波浪号引起的。它允许远程攻击者在Web根目录下公开文件或文件夹名称,这通常是不应该被访问到的。攻击者可以找到通常无法从外部直接访问的重要文件,并获...
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 1528
IIS文件名漏洞原理以及修复方法
IIS文件名泄露漏洞修复
热门推荐
bylfsj的博客
10-08 1万+
一、 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在W...
文件名漏洞如何修复_iis文件名漏洞解决方法
weixin_39939668的博客
12-21 1344
Microsoft IIS在实现上存在文件枚举漏洞,***者可利用此漏洞枚举网络服务器根目录中的文件。危害:***者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务***。关闭NTFS 8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。运行cmd,输入fsutil behavior set disable8dot3 12...
IIS文件名漏洞复现图文详解
09-29
主要给大家介绍了关于IIS文件名漏洞复现的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
IIS文件名漏洞利用工具
07-31
IIS文件名漏洞是指在IIS服务器中,由于系统处理某些特殊格式的文件名时存在的安全缺陷,攻击者可能能够利用这个漏洞获取系统中的敏感信息,甚至控制服务器。 文件名在Windows操作系统中被用来兼容DOS时期的8.3...
iis 文件名泄露 验证工具
06-25
总之,IIS文件名泄露是一个不容忽视的安全隐患,应定期进行检查和修复。使用Python或JAVA编写的验证工具可以帮助我们快速发现并解决这个问题,保护服务器免受潜在的攻击。在实际操作中,还应注意定期更新IIS,以...
IIS文件名泄漏漏洞利用工具下载
03-05
**IIS文件名泄漏漏洞** IIS(Internet Information Services)是微软提供的一个Web服务器软件,广泛用于Windows操作系统。在IIS中存在一种安全漏洞,称为“文件名泄漏漏洞”,它允许攻击者通过特定的请求来揭示...
iis文件名查询
03-28
标签“工具”表明存在一个名为"IIS-ShortName-Scanner"的工具,该工具专门设计用于检测IIS服务器上的文件名漏洞。这类工具通常会自动遍历服务器上的所有路径,尝试用文件名访问文件,并报告任何成功访问或权限...
iis_scanner.7z
04-12
总的来说,了解和使用这个工具,可以帮助系统管理员识别并修复IIS服务器的安全隐患,防止恶意攻击者利用文件名漏洞进行非法活动。同时,这也提醒我们在使用任何Web服务器时,都应保持软件更新,及时修补已知的安全...
IIS6.0解析漏洞修复-01
09-15
IIS6.0文件解析漏洞修复方案 目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传xx.asp;.jpg类型的文件名。同时,做好权限设置,限制用户创建文件夹。 1. 编写正则:我们可以编写正则表达式来阻止上传恶意...
NET IIS暴绝对路径漏洞
10-31
- **漏洞扫描**:定期执行自动化的漏洞扫描,以检测和修复潜在的安全问题。 - **教育与培训**:对开发人员进行安全编码培训,提高其安全意识和技能。 #### 总结 .NET IIS暴绝对路径漏洞是一种特定条件下可能发生的...
iis文件名漏洞复现
08-23
复现IIS文件名漏洞的过程可以帮助管理员更好地理解漏洞的存在和影响,并采取相应的措施来修复漏洞修复方法包括禁用IIS文件名功能、更新IIS服务器补丁、限制目录访问权限等,以增强服务器的安全性。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值