Microsoft IIS 短文件名/目录名 枚举漏洞

最新推荐文章于 2024-08-02 08:01:34 发布
最新推荐文章于 2024-08-02 08:01:34 发布
阅读量6.9k 收藏 1
点赞数
分类专栏: 漏洞收集 文章标签: microsoft iis character internet 互联网 windows 
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件

IIS Short File/Folder Name Disclosure by using tilde “~” character
<* 参考
Soroush Dalili (Irsdl@yahoo.com)
http://soroush.secproject.com/blog/2012/06/microsoft-iis-tilde-character-vulnerabilityfeature-short-filefolder-name-disclosure/ 
http://www.acunetix.com/blog/web-security-zone/articles/windows-short-8-3-filenames-web-security-problem/
*>
安全建议:
厂商补丁:

Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.microsoft.com/technet/security/

http://technet.microsoft.com/en-us/library/cc959352.aspx
7禧
关注
专栏目录
复现awvs——IIS文件名目录遍历漏洞
记录并分享学习安全的知识点..
01-09 2402
一、漏洞概述 此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。Microsoft IIS 波浪号造成的信息泄露是世界网络范围内最常见的中等风险漏洞。这个问题至少从1990年开始就已经存在,但是已经证明难以发现,难以解决或容易被完全忽略。 二、漏洞原理 利用“~”字符猜解暴露文件/文件夹名,IIS文件名
iis服务器版本信息泄漏,IIS文件和文件夹泄漏漏洞
weixin_42510841的博客
08-06 2950
本文翻译自exploit-db.com,是苦逼阿德马童鞋经过数小时折腾而成,转载请著名出处,tks.E文太菜,如果有错误之处请各位大大多多指正.IIS是有微软使用微软windows功能扩展模块创建的一套web服务器应用程序,是世界上第三个最流行的服务器。漏洞描述:漏洞研究小组发现了一个微软IIS漏洞,攻击者可以利用一个包含”~”的get请求,来让服务器上的文件和文件夹被泄漏、影响版本:IIS 1...
Microsoft IIS 文件名/目录名 枚举漏洞修复步骤
热门推荐
hzfw2008的博客
07-30 1万+
近期网站系统被扫描出漏洞文件名/目录名 枚举漏洞Microsoft IIS tilde directory enumeration 危害级别:轻微 IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...
IIS解析漏洞~ IIS7.漏洞分析
最新发布
weixin_67832625的博客
08-02 353
IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将。文件解析漏洞是由于中间件错误的将特殊格式的文件解析成可执行网页文件(脚本),配合文件上传漏洞进行GetShell的漏洞!php.ini里的cgi.fix_pathinfo=1 开启。
Microsoft IIS波浪号目录枚举/IIS文件名枚举漏洞
weixin_44664530的博客
06-11 8359
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 复现: /images//*~1*/a.aspx?aspxerrorpath=/ 危害: 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 解决方案:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation的值为1,或者,
Microsoft IIs tilde directory enumeration
weixin_30348519的博客
11-25 1366
漏洞标题: iis 文件名列举漏洞 检测: https://code.google.com/p/iis-shortname-scanner-poc/ 查看扫描出来的目录,全是404 ,比较鸡肋。 ...
Microsoft IIS tilde directory enumeration POC
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-25 1513
https://code.google.com/p/iis-shortname-scanner-poc/ https://github.com/lijiejie/IIS_shortname_Scanner 手工测试 http://www.target.com/~1***/a.aspx http://www.target.com/l1j1e*~1****/a.aspx 第一个为404,第二个为400说明存在此漏洞
网络安全-IIS文件名枚举漏洞
lc545205的博客
04-03 2434
IIS-ShortName-Scanner下载链接: 提取码:5lcqpython版本的需要安装python27环境: 提取码:h2orjava版本的需要安装jdk环境: 提取码:jl58。
IIS文件名漏洞复现图文详解
09-29
IIS文件名漏洞是一种信息安全问题,该漏洞允许攻击者通过特定技术手段,获取服务器上不应公开的文件和文件夹信息。在了解和防御这种漏洞之前,首先需要掌握相关的概念和技术背景。 首先,IIS是微软公司的Internet...
IIS文件名漏洞利用工具
07-31
IIS文件名漏洞是指在IIS服务器中,由于系统处理某些特殊格式的文件名时存在的安全缺陷,攻击者可能能够利用这个漏洞获取系统中的敏感信息,甚至控制服务器。 文件名Windows操作系统中被用来兼容DOS时期的8.3...
IIS文件名泄漏漏洞利用工具下载
03-05
描述中的“IIS中间键.NET漏洞猜解网站目录或文件名”可能指的是利用.NET框架在IIS上的特定行为。攻击者可能使用自动化工具,如压缩包中的`scanner-compiled`,进行猜测和枚举,尝试各种可能的文件名组合,以此来...
修改IIS 的Banner 实现操作系统版本的隐藏
04-16
修改IIS 的Banner 实现操作系统版本的隐藏
IIS下ASP目录漏洞IIS分号漏洞(;)的临时解决方法
01-20
解决方法: 下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来。 把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI,名字为ISAPI_Rewrite,这就是伪静态,做过的不用安装了 下载漏洞补丁包,即下图选择的项目,下载打开! 把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini。 或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行!这样就能防止这两个IIS漏洞了,是要这两条规则有效就行了,ISAPI_Rewrite目录下面的httpd.ini是全局配置文件
Microsoft IIS tilde directory enumeration 可能的解决方法之一
tinyleaf的博客
04-24 4628
参考网址: https://www.cnblogs.com/cdemo/p/4581515.html   解决方式: 1:IIS6.1版本以下 针对IIS添加微软URLScan  ISAPI筛选器,具体过程请自我搜索! 2:针对IIS6.1以上版本,由于内部默认集成筛选器过滤。请在IIS服务器跟节点 功能视图中 找到 请求筛选  URL 和 查询字符串中 添加 ~  * 等字符 第一个...
iis 目录枚举文件枚举解决方案
xuan2717的博客
08-29 535
iis 目录枚举文件枚举解决方案
IIS tilde directory enumeration 漏洞以及解决方案
jcoiwenwfkowe的博客
06-10 478
IIS tilde directory enumeration 漏洞以及解决方案
IIS文件名枚举漏洞
laughingsister的博客
11-19 1238
1、修改注册表项:(重启服务器生效) HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation 值为1。 2、执行DOS命令, fsutil behavior set disable8dot3 1。 3、删除现有的IIS目录重新部署,完成此步骤才能完全修复。 ...
Microsoft IIS self decoding behavior leads to WAF Bypass/information disclosure
cnbird's blog
02-16 657
Author: Itzhak AvrahamBlog : http://imthezuk.blogspot.comarticle source: http://imthezuk.blogspot.com/2010/02/microsoft-iis-5051-possibly-60.htmlAffects :IIS 5.0, IIS5.1, Maybe 6.0 as-well.
iis文件名漏洞复现
08-23
IIS文件名漏洞,也称为8.3文件名漏洞,是指在IISInternet Information Services)Web服务器上存在的一个安全漏洞。该漏洞允许攻击者通过构造特定的URL请求来访问Web服务器上本不公开的文件和目录。 要复现IIS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值