IIS 短文件名漏洞的整改操作

最新推荐文章于 2024-05-24 09:38:43 发布
最新推荐文章于 2024-05-24 09:38:43 发布
阅读量141 收藏
点赞数
分类专栏: Windows 文章标签: IIS 短文件名漏洞 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mystonelxj/article/details/137599862
版权
Windows 专栏收录该内容
38 篇文章 27 订阅 ¥39.90 ¥99.00
订阅专栏

文章目录

前言

默认情况下,Windows系统采用了 8.3文件格式的支持,也就是说,对于一些长名称文件,系统自动提供了DOS 8.3名称约定(SFN)的代字符(〜)方式的查看方式,而IIS默认情况下并未对这种情况做相应限制,这就造成网络黑客可以 利用该漏洞,基于网站公开发布信息,利用工具查看在 Web 根目录下公开文件和文件夹名称。这回造成网站所在单位不必要的信息泄露。只有采用有效的整改步骤,才能必要相关损失。

整改步骤

1.关闭磁盘短文件模式

1) 打开cmd 窗口,CMD对话框
在这里插入图片描述

2) 在网站部署的磁盘下,输入如下命令(本例网站在D盘)

fsutil 8dot3name set d: 1

修改成功,提示如下信息:

已成功设置 8dot3name 行为。

3) 再输入如下命令确认修改成功

fsutil 8dot3name query d:
了解本专栏 订阅专栏 解锁全文
mystonelxj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
IIS 文件名漏洞修复中可能存在异常
mystonelxj的博客
04-12 64
本文总结了在IIS 文件名漏洞修复过程中可能存在的一些异常,及可能的解决方案,可作为IIS 文件名漏洞整改操作一文的辅助材料。
IIS7 常见错误及其解决方法
09-30
IIS7 常见错误及其解决方法 ,需要的朋友可以参考下。
IIS文件名泄露漏洞验证脚本
09-30
python2.7,使用方法:python iis.py http://域名
漏洞笔记】IIS文件名漏洞原理以及修复方法
wangjunlei的专栏
04-16 3044
但是漏洞发现者Soroush Dalili之后再次在IIS7.5和IIS8.0的版本中发现,当使用OPTIONS来代替GET 方法时,如果请求中的文件名是存在的,IIS会返回一个不一样的错误信息。攻击者如果在文件夹名称中发送一个不合法的.Net文件请求,
探索IIS服务器的文件名利器 —— Shortscan
最新发布
gitblog_00096的博客
05-24 518
探索IIS服务器的文件名利器 —— Shortscan 项目地址:https://gitcode.com/bitquark/shortscan 项目介绍 在网络安全的世界中,Shortscan是一款专门针对IIS(Internet Information Services)网络服务器设计的文件名枚举工具。它能够快速识别出存在服务器上的文件名,并尝试自动确定这些文件的完整名称。特别值得一提的是...
iis文件名漏洞
09-07
文件名漏洞的详解,有助于理解这个漏洞,从而达到对漏洞的防范与漏洞利用渗透测试你的目的,文档主要是为了辅助完成
深入浅出之IIS文件名漏洞
L_lemo004的博客
07-09 4450
一、 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Profe...
文件名漏洞如何修复_IIS文件名暴力猜解漏洞修复方法
weixin_39997194的博客
12-21 407
1、登录Windows系统,打开注册编辑器,修改此路径[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]下NtfsDisable8dot3NameCreation的值,默认值为0,修改为1,并重启计算机。​2、修改注册表键值,重启后,并不代表系统里就不存在文件名,以前创建的文件依然存在文件名,之后创建的文件将不会存在...
IIS文件名漏洞修复
qq_24851835的博客
06-08 1582
IIS文件名漏洞解决办法
文件名漏洞如何修复_IIS文件名泄露漏洞修复解决方案?
weixin_39873325的博客
12-21 2865
一、IIS文件名泄露漏洞简介InternetInformationServices(IIS,互联网信息服务)是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。020危害:攻击者可以利用“~”字符 猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFrame...
Microsoft IIS 文件名/目录名 枚举漏洞修复步骤
hzfw2008的博客
07-30 9931
近期网站系统被扫描出漏洞文件名/目录名 枚举漏洞Microsoft IIS tilde directory enumeration 危害级别:轻微 IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...
IIS文件名漏洞利用工具.zip
05-12
标题中的"IIS文件名漏洞利用工具"指向的是一个针对微软Internet Information Services(IIS)服务器的安全漏洞IISWindows操作系统中广泛使用的Web服务器,它处理HTTP、HTTPS和其他网络协议,为用户提供网页...
IIS文件名漏洞利用工具
11-07
**IIS文件名漏洞利用工具详解** IIS(Internet Information Services)是微软公司推出的Web服务器,广泛应用于各种Windows服务器环境中。然而,如同任何其他软件一样,IIS也存在安全漏洞,其中一种知名的漏洞就是...
IIS文件名漏洞
94小菜
10-25 5168
目录简介实验漏洞利用局限性修复建议参考链接 简介 IIS简介 Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Professional、Windows Server 2003和后续版本一起发
漏洞修复IIS文件名泄露漏洞(OPTIONS)
qq_42782011的博客
07-12 1682
*漏洞描述:**Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。方案2.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.**风险级别:**高风险。
IIS目录名枚举漏洞修复
Zola的博客
03-28 1620
IIS目录名枚举漏洞修复
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 1527
IIS文件名漏洞原理以及修复方法
iis文件名漏洞复现
08-23
IIS文件名漏洞,也称为8.3文件名漏洞,是指在IIS(Internet Information Services)Web服务器上存在的一个安全漏洞。该漏洞允许攻击者通过构造特定的URL请求来访问Web服务器上本不公开的文件和目录。 要复现IIS文件名漏洞,可以按照以下步骤进行: 1. 首先,确保你有一个运行IIS的Web服务器,并且可以进行配置和测试。 2. 设置IIS服务器,使其启用文件名。可以通过修改IIS配置文件或使用命令行工具进行设置。 3. 创建一个包含敏感信息的文件,例如“secret.txt”,并将其放置在不公开访问的目录下,如“C:\inetpub\wwwroot\secret”。 4. 使用不带扩展名的文件名创建一个符号链接(Symlink),指向要访问的目标文件。例如,可以使用命令“mklink secret.lnk C:\inetpub\wwwroot\secret.txt”。 5. 访问IIS服务器上的网页,并构造一个特定的URL请求来访问该文件。例如,“http://localhost/secret.lnk”。 6. 如果IIS服务器启用了文件名,并且漏洞存在,那么访问该URL后,应该能够直接显示或下载“secret.txt”文件,即使该文件被放置在不公开访问的目录下。 复现IIS文件名漏洞的过程可以帮助管理员更好地理解漏洞的存在和影响,并采取相应的措施来修复漏洞修复方法包括禁用IIS文件名功能、更新IIS服务器补丁、限制目录访问权限等,以增强服务器的安全性。同时,定期更新和管理服务器的安全措施也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mystonelxj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值