IIS 短文件名漏洞的整改操作

38 篇文章 27 订阅 ¥39.90 ¥99.00


前言

默认情况下,Windows系统采用了 8.3文件格式的支持,也就是说,对于一些长名称文件,系统自动提供了DOS 8.3名称约定(SFN)的代字符(〜)方式的查看方式,而IIS默认情况下并未对这种情况做相应限制,这就造成网络黑客可以 利用该漏洞,基于网站公开发布信息,利用工具查看在 Web 根目录下公开文件和文件夹名称。这回造成网站所在单位不必要的信息泄露。只有采用有效的整改步骤,才能必要相关损失。


整改步骤

1.关闭磁盘短文件模式

1) 打开cmd 窗口,CMD对话框
在这里插入图片描述

2) 在网站部署的磁盘下,输入如下命令(本例网站在D盘)

fsutil 8dot3name set d: 1

修改成功,提示如下信息:

已成功设置 8dot3name 行为。

3) 再输入如下命令确认修改成功

fsutil 8dot3name query d:
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
IIS文件名漏洞,也称为8.3文件名漏洞,是指在IIS(Internet Information Services)Web服务器上存在的一个安全漏洞。该漏洞允许攻击者通过构造特定的URL请求来访问Web服务器上本不公开的文件和目录。 要复现IIS文件名漏洞,可以按照以下步骤进行: 1. 首先,确保你有一个运行IIS的Web服务器,并且可以进行配置和测试。 2. 设置IIS服务器,使其启用文件名。可以通过修改IIS配置文件或使用命令行工具进行设置。 3. 创建一个包含敏感信息的文件,例如“secret.txt”,并将其放置在不公开访问的目录下,如“C:\inetpub\wwwroot\secret”。 4. 使用不带扩展名的文件名创建一个符号链接(Symlink),指向要访问的目标文件。例如,可以使用命令“mklink secret.lnk C:\inetpub\wwwroot\secret.txt”。 5. 访问IIS服务器上的网页,并构造一个特定的URL请求来访问该文件。例如,“http://localhost/secret.lnk”。 6. 如果IIS服务器启用了文件名,并且漏洞存在,那么访问该URL后,应该能够直接显示或下载“secret.txt”文件,即使该文件被放置在不公开访问的目录下。 复现IIS文件名漏洞的过程可以帮助管理员更好地理解漏洞的存在和影响,并采取相应的措施来修复漏洞修复方法包括禁用IIS文件名功能、更新IIS服务器补丁、限制目录访问权限等,以增强服务器的安全性。同时,定期更新和管理服务器的安全措施也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mystonelxj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值