IIS短文件名漏洞修复

最新推荐文章于 2024-08-07 21:20:24 发布
最新推荐文章于 2024-08-07 21:20:24 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ganbitao/article/details/51822795
版权

2016年7月4日18:21:05

用绿盟漏扫,扫出服务器存在IIS短文件名漏洞。上网搜索出的可行的解决方法。

步骤:

  1. 安装.net4.0。注:提示缺少wic,搜索下载安装即可。
  2. 修改注册表:HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1。直接搜索NtfsDisable8dot3NameCreation,修改其值为1。
  3. 重启服务器!重启服务器!重启服务器!
  4. 手动为网站更换主目录路径,站点程序所在文件夹必须是新建的。可以先新建文件夹,将所有文件复制过去,再在IIS里更改主目录路径为刚才新建的文件夹;或者直接在当前路径下复制旧文件夹,重新命名,再在IIS更改主目录路径。
  5. 重新漏扫!重新漏扫!重新漏扫!

华府9527
关注
专栏目录
IIS 文件名漏洞修复中可能存在异常
mystonelxj的博客
04-12 101
本文总结了在IIS 文件名漏洞修复过程中可能存在的一些异常,及可能的解决方案,可作为IIS 文件名漏洞的整改操作一文的辅助材料。
IIS 文件名漏洞的整改操作
mystonelxj的博客
04-10 276
默认情况下,Windows系统采用了 8.3文件格式的支持,也就是说,对于一些长名称文件,系统自动提供了DOS 8.3名称约定(SFN)的代字符(〜)方式的查看方式,而IIS默认情况下并未对这种情况做相应限制,这就造成网络黑客可以 利用该漏洞,基于网站公开发布信息,利用工具查看在 Web 根目录下公开文件和文件夹名称。这回造成网站所在单位不必要的信息泄露。只有采用有效的整改步骤,才能必要相关损失。
iis文件名漏洞
weixin_51387754的博客
12-22 3806
漏洞简述 此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。 漏洞复现 构造payload查看是否具有漏洞 http://www.target.com/~1***/a.aspx http://www.target.com/l1j1e*~1****/a.aspx 如果存在文件名泄露漏洞就会出现404页面
关于 IIS文件名泄露漏洞
zcfeng
11-11 6892
IIS文件名漏洞修补
IIS漏洞大全(附修复方法)
最新发布
C233333235的博客
08-07 1337
IlS Server 在 Web 服务扩展中开启了 WebDAV,配置了可以写入的权限,造成任意文件上传。漏洞复现本地搭建2003 server1)开启 WebDAV 和写权限:做好准备工作后开启环境,然后我们去访问配置的IP,访问到如下页面然后开启抓包刷新页面,在抓到的数据包后将其发送到重放器,将请求方式改为OPTIONS后点击发送,在返回包中就可以看到可以使用的请求方式。
IIS文件名泄露修复
lucron
11-28 124
新建记事本,将以下内容保存,后缀改为reg导入即可修复
IIS文件名漏洞复现图文详解
09-29
IIS文件名漏洞是一种信息安全问题,该漏洞允许攻击者通过特定技术手段,获取服务器上不应公开的文件和文件夹信息。在了解和防御这种漏洞之前,首先需要掌握相关的概念和技术背景。 首先,IIS是微软公司的Internet...
IIS文件名泄漏漏洞利用工具下载
03-05
**IIS文件名泄漏漏洞** IISInternet Information Services)是微软提供的一个Web服务器软件,广泛用于Windows操作系统。在IIS中存在一种安全漏洞,称为“文件名泄漏漏洞”,它允许攻击者通过特定的请求来揭示...
IIS文件名漏洞利用工具
07-31
IIS文件名漏洞是指在IIS服务器中,由于系统处理某些特殊格式的文件名时存在的安全缺陷,攻击者可能能够利用这个漏洞获取系统中的敏感信息,甚至控制服务器。 文件名在Windows操作系统中被用来兼容DOS时期的8.3...
IIS文件漏洞
Amdy_amdy的博客
09-29 2640
来源地址:https://www.freebuf.com/articles/web/172561.html 一、 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Profes
文件名漏洞如何修复_文件名漏洞修复
weixin_39565390的博客
12-21 344
文件名漏洞其实在13年时还是很令人耳熟能详的,不过随着所在公司的编码语言转型,目前使用ASP.NET的新项目基本上没有了,而更多的是对原来的采用ASP.NET语言开发的项目进行维护或打个补丁。事出突然,12月的某个下午被项目组喊去帮个忙,第一感觉就是“是不是线上的项目被人黑了?”。于是乎就跑去看下具体的情况,项目组负责人见到我第一句话就是“某个项目被某国家单位进行线上项目巡检时发现了一个漏洞,但...
深入浅出之IIS文件名漏洞
L_lemo004的博客
07-09 4534
一、 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Profe...
IIS文件名泄露漏洞
lchyz89的专栏
02-21 2004
Windows Server 2003 and Windows XP  若要禁用 8.3 名称创建所有 NTFS 分区上的,键入 fsutil.exe behavior set disable 8 dot 3 1 在命令提示符下,然后按 ENTER 键。 Windows 2000 and Windows NT    要禁用 8.3 名称创建所有 NTFS 分区上的,使用以下步骤: 重要 此
漏洞修复IIS文件名泄露漏洞(OPTIONS)
qq_42782011的博客
07-12 1840
*漏洞描述:**Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。方案2.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.**风险级别:**高风险。
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 2057
IIS文件名漏洞原理以及修复方法
漏洞笔记】IIS文件名漏洞原理以及修复方法
wangjunlei的专栏
04-16 4223
但是漏洞发现者Soroush Dalili之后再次在IIS7.5和IIS8.0的版本中发现,当使用OPTIONS来代替GET 方法时,如果请求中的文件名是存在的,IIS会返回一个不一样的错误信息。攻击者如果在文件夹名称中发送一个不合法的.Net文件请求,
IIS文件名泄露-OPTIONS
voctor2436的博客
04-26 1533
最初是Windows NT版本的可选包,随后内建在Windows 2000、Windows XP Professional和Windows Server 2003一起发行,但在普遍使用的Windows XP Home版本上并没有IIS。由于上述OPTIONS方法请求猜测出文件名,猜测成功返回404,猜测失败返回的是200,失败的组合比较多,所以下面主要分析下404猜测成功的请求如何通过OPTIONS方法获取文件名IIS10T.HTM的。IIS 4.0,Windows NT 4.0选项包。
iis文件名漏洞复现
08-23
IIS文件名漏洞,也称为8.3文件名漏洞,是指在IISInternet Information Services)Web服务器上存在的一个安全漏洞。该漏洞允许攻击者通过构造特定的URL请求来访问Web服务器上本不公开的文件和目录。 要复现IIS文件名漏洞,可以按照以下步骤进行: 1. 首先,确保你有一个运行IIS的Web服务器,并且可以进行配置和测试。 2. 设置IIS服务器,使其启用文件名。可以通过修改IIS配置文件或使用命令行工具进行设置。 3. 创建一个包含敏感信息的文件,例如“secret.txt”,并将其放置在不公开访问的目录下,如“C:\inetpub\wwwroot\secret”。 4. 使用不带扩展名的文件名创建一个符号链接(Symlink),指向要访问的目标文件。例如,可以使用命令“mklink secret.lnk C:\inetpub\wwwroot\secret.txt”。 5. 访问IIS服务器上的网页,并构造一个特定的URL请求来访问该文件。例如,“http://localhost/secret.lnk”。 6. 如果IIS服务器启用了文件名,并且漏洞存在,那么访问该URL后,应该能够直接显示或下载“secret.txt”文件,即使该文件被放置在不公开访问的目录下。 复现IIS文件名漏洞的过程可以帮助管理员更好地理解漏洞的存在和影响,并采取相应的措施来修复漏洞修复方法包括禁用IIS文件名功能、更新IIS服务器补丁、限制目录访问权限等,以增强服务器的安全性。同时,定期更新和管理服务器的安全措施也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值