漏洞修复:IIS短文件名泄露漏洞(OPTIONS)

已于 2024-02-21 09:43:16 修改
阅读量1.6k 收藏
点赞数
分类专栏: 漏洞修复笔记 文章标签: web安全
于 2023-07-12 09:12:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42782011/article/details/131673804
版权

**漏洞描述:**Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

**风险级别:**高风险

**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.

方案1.修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1。该修改不能完全修复,只是禁止创建推荐使用后面的修复建议

方案2.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。(推荐)

方案3.升级net framework 至4.0以上版本.(推荐)

刘梦凡呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-IIS文件名枚举漏洞
lc545205的博客
04-03 2279
IIS-ShortName-Scanner下载链接: 提取码:5lcqpython版本的需要安装python27环境: 提取码:h2orjava版本的需要安装jdk环境: 提取码:jl58。
IIS文件泄漏漏洞修改_iis文件名泄露 怎么设置
2301_78416732的博客
04-11 895
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 1349
IIS文件名漏洞原理以及修复方法
漏洞笔记】IIS文件名漏洞原理以及修复方法
wangjunlei的专栏
04-16 2576
但是漏洞发现者Soroush Dalili之后再次在IIS7.5和IIS8.0的版本中发现,当使用OPTIONS来代替GET 方法时,如果请求中的文件名是存在的,IIS会返回一个不一样的错误信息。攻击者如果在文件夹名称中发送一个不合法的.Net文件请求,
探索微软IIS文件名漏洞IIS Short Name Scanner
最新发布
gitblog_00067的博客
05-14 480
探索微软IIS文件名漏洞IIS Short Name Scanner 项目地址:https://gitcode.com/irsdl/IIS-ShortName-Scanner IIS Short Name Scanner是一款经典的开源工具,自2012年以来,它一直在帮助安全研究人员和系统管理员检测Microsoft Internet Information Services(IIS)的8....
关于 IIS文件名泄露漏洞
zcfeng
11-11 6706
IIS文件名漏洞修补
IIS文件名暴力枚举漏洞利用工具(IIS shortname Scanner)
热门推荐
专注企业信息安全-sec
11-23 1万+
上文我已经介绍了IIS文件名暴力枚举漏洞的成因和利用。 这里只是发出昨天写的脚本。 脚本可以测试对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的文件名:包括文件和文件名。 网上早前已经有公开的工具了:https://code.google.com/p/iis-shortname-scanner-poc/ 我没有参考他的代码。自己用python实现了一个漏洞利用脚本。简单测试,...
IIS6.0漏洞文件名猜解复现
7Riven's blog
11-10 1892
1.文件名产生背景 为了兼容16位MS-DOS程序,Windows为文件名较长的文件和文件夹生成了对应的DOS 8.3 文件名。一般来说,文件名长度超过9位,就会显示文件名 。 2.文件名命名格式 全部大写 显示6位 超过6位用~1表示 不显示特殊字符 后缀最多显示三位,其余的被截断 3.文件名查看方式 在window下的cmd中输入dir /x命令即可查看文件名。如...
IIS文件名泄露漏洞验证脚本
09-30
python2.7,使用方法:python iis.py http://域名
IIS文件名漏洞利用工具.zip
05-12
标题中的"IIS文件名漏洞利用工具"指向的是一个针对微软Internet Information Services(IIS)服务器的安全漏洞IIS是Windows操作系统中广泛使用的Web服务器,它处理HTTP、HTTPS和其他网络协议,为用户提供网页...
IIS文件名漏洞利用工具
07-31
本工具可以测试IIS对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的文件名:包括文件和文件名
iis文件名查询
03-28
查找服务器文件名漏洞查找服务器文件名漏洞查找服务器文件名漏洞查找服务器文件名漏洞查找服务器文件名漏洞查找服务器文件名漏洞查找服务器文件名漏洞
IIS7 常见错误及其解决方法
09-30
IIS7 常见错误及其解决方法 ,需要的朋友可以参考下。
iis 文件名泄露 验证工具
06-25
总之,IIS文件名泄露是一个不容忽视的安全隐患,应定期进行检查和修复。使用Python或JAVA编写的验证工具可以帮助我们快速发现并解决这个问题,保护服务器免受潜在的攻击。在实际操作中,还应注意定期更新IIS,以...
Microsoft IIS 文件名/目录名 枚举漏洞
收集盒 Book box
09-16 6936
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件 IIS Short File/Folder Name Disclosure by using tilde “~” character
IIS文件漏洞(搬运整理)
weixin_30653097的博客
05-31 618
0x01. IIS文件漏洞的由来 Microsoft IIS 文件/文件夹名称信息泄漏最开始由Vulnerability Research Team(漏洞研究团队)的Soroush Dalili在2010年8月1日发现,并于2010年8月3日通知供应商(微软公司)。微软公司分别于2010年12月1日和2011年1月4日给予答复下个版本修复。2012年6月29日,此漏洞公开披露(中...
iis文件名泄露漏洞工具
09-08
文件名泄露漏洞是指在IIS(Internet Information Services)服务器上,存在一种漏洞可以通过发送特定请求获得服务器上的文件名信息。 该漏洞可以被黑客利用来获取服务器上的敏感文件名,进而进行其他恶意行为,如尝试访问这些文件、通过获得的信息进行进一步的入侵等。 为了测试和检测这种漏洞,一些安全研究人员和工具开发者开发了一些工具,可以模拟这种漏洞,并帮助系统管理员进行修复和防护。 这些工具可以通过发送特定的请求来检测IIS服务器是否存在文件名泄露漏洞。一旦漏洞被发现,管理员可以采取相应的措施来修复漏洞,如更新IIS服务器的补丁、关闭文件名功能等,以增强服务器的安全性。 这些工具通常被设计为简单易用,可自动化检测和修复漏洞,帮助系统管理员降低风险并避免可能的攻击。 总之,IIS文件名泄露漏洞工具可以帮助系统管理员快速检测和修复这种漏洞,提高服务器的安全性,保护系统和用户的敏感数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值