前言
默认情况下,Windows系统采用了 8.3文件格式的支持,也就是说,对于一些长名称文件,系统自动提供了DOS 8.3名称约定(SFN)的代字符(〜)方式的查看方式,而IIS默认情况下并未对这种情况做相应限制,这就造成网络黑客可以 利用该漏洞,基于网站公开发布信息,利用工具查看在 Web 根目录下公开文件和文件夹名称。这回造成网站所在单位不必要的信息泄露。只有采用有效的整改步骤,才能必要相关损失。
整改步骤
1.关闭磁盘短文件模式
1) 打开cmd 窗口,CMD对话框
2) 在网站部署的磁盘下,输入如下命令(本例网站在D盘)
fsutil 8dot3name set d: 1
修改成功,提示如下信息:
已成功设置 8dot3name 行为。
3) 再输入如下命令确认修改成功
fsutil 8dot3name query d: