阻止“IIS短文件名泄露”

最新推荐文章于 2024-08-07 11:33:57 发布
最新推荐文章于 2024-08-07 11:33:57 发布
阅读量1.1w 收藏 3
点赞数 1
分类专栏: Iis 服务器安全设置 文章标签: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z542601362/article/details/46822495
版权

1.    简介:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

2.    检测方法:http://www.xxxx.com/defaul*~1*/.aspx,将log换成你的文件名的前几位,如返回404则代表文件存在,如返回bad request则代表文件不存在,如有以上现象,则存在此漏洞。

3.    修复方法:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,重启服务器。

4.    注意:此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,可选择将网站文件删除,再重新上传即可解决此问题。升级.net framework v4.0无帮助。重新命名网站主目录无帮助。

5.    已存在的网站对后设置的会不起作用,解决方法是可以删除文件然后再把文件拷贝回来。

542601362
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS文件名漏洞利用工具
10-22
需JAVA支持,安装完最新版本的JAVA环境后 java scanner 2 20 URL
IIS文件名泄漏漏洞利用工具下载
03-05
IIS中存在一种安全漏洞,称为“文件名泄漏漏洞”,它允许攻击者通过特定的请求来揭示系统中的文件名,这可能导致敏感信息的泄露,进一步可能被用于入侵系统的其他部分。 ### 漏洞原理 IIS支持DOS时代的8.3...
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 1889
IIS文件名漏洞原理以及修复方法
中间件安全IIS----文件解析漏洞利用
qq_53058639的博客
07-08 1025
IIS服务器主要存在两种解析缺陷:文件夹解析漏洞和分号截断漏洞。下面就来分别具体了解一下。
【漏洞笔记】IIS文件名漏洞原理以及修复方法
wangjunlei的专栏
04-16 3843
但是漏洞发现者Soroush Dalili之后再次在IIS7.5和IIS8.0的版本中发现,当使用OPTIONS来代替GET 方法时,如果请求中的文件名是存在的,IIS会返回一个不一样的错误信息。攻击者如果在文件夹名称中发送一个不合法的.Net文件请求,
IIS文件名泄露漏洞解决方法
最新发布
深漂小码哥
08-07 761
此部分(或称方法或任务)介绍了修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请务必严格按照这些步骤操作。为了加强保护,应先备份注册表,再进行修改。如果出现问题,可以还原注册表。有关如何备份和还原注册表的详细信息,请参阅。打开IIS管理器,选择站点,右侧请求筛选,鼠标右键,打开功能,切换到上方的URL,点击右侧的拒绝序列。若要使此注册表更改生效,请重新启动计算机。依次单击“开始”、“运行”,键入。,然后单击“确定”。在“数值数据”框中,键入。二、修改IIS请求筛选。,然后单击“确定”。
【网络安全】IIS文件名泄露解决办法
沧月
09-28 6040
在Windows下查看对应的文件名,可以使用如下命令dir /x。
IIS文件名漏洞复现图文详解
09-29
需要注意的是,这种方法只能阻止NTFS生成新的8.3格式文件名,已经存在的文件名需要重新复制才会消失。 此外,在配置和维护服务器时,应当严格限制对Web根目录的访问权限,减少不必要的暴露面,并对相关配置进行...
IIS文件名泄露解决
03-18
标题中的"IIS文件名泄露"是指在Windows操作系统中,由于历史原因,系统为每个长文件名维护了一个8.3格式的文件名。这种格式通常由文件名的前6个字符加上一个波浪线(~)和一个数字组成,例如"test~1"。在...
iis文件名可以猜测几位字符_Python渗透漏洞工具,有需要可以看看
weixin_39906192的博客
11-27 184
看到公众号好的文章,分享给大家,来自 黑白之道PYTHON小工具集(渗透测试工具集)beian.py 备案查询小工具 beian.py baidu.combaiducrawler.py 百度关键字爬取小工具 baiducrawler.py 大黑客scanTitle.py 批量获取域名标题 scanTitle.py urls.txt 10 (线程)bingC.py 用bing搜索的ip指令进行ip到...
iis 文件名泄露 验证工具
06-25
iis文件名泄露,可以用这个工具校验, python 和JAVA版的都有
IIS文件名漏洞修复
生活在继续
10-30 2592
微软的URLScan工具是最适合的一个轻量级工具,关键它是免费的,而且安装、配置非常简单。安装完毕之后,在需要做URL过滤的站点的属性中,添加一个ISAPI筛选器,dll路径位于:C:WINDOWSsystem32inetsrvurlscan。CMD输入regedit回车,在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1;
Web安全-IIS文件名泄露
道阻且长,行则将至。
02-28 7694
漏洞的成因 为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 文件名。 在Windows下查看对应的文件名,可以使用命令dir /x。 比如,我在D盘下创建了一个名为aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html文件: D:\>dir /x 驱动器 D 中的卷是 Data 卷的序列号是 3EDF-...
IIS文件名泄露漏洞
cj_Hydra's Blog
04-07 2634
前言: 漏洞描述:Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服...
漏洞修复:IIS文件名泄露漏洞(OPTIONS)
qq_42782011的博客
07-12 1803
*漏洞描述:**Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。方案2.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.**风险级别:**高风险。
深入浅出之IIS文件名漏洞
L_lemo004的博客
07-09 4521
一、 什么是IIS Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Profe...
文件名漏洞如何修复_如何修复IIS文件名泄露漏洞?
weixin_39978282的博客
12-21 153
如何修复IIS文件名泄露漏洞?轻微IIS文件名泄露漏洞WASC Threat Classification020发现时间:2013-02-18020漏洞类型:信息泄露020所属建站程序:其他020所属服务器类型:IIS020所属编程语言:其他020描述:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。+ 展开1.Internet Inform...
iis文件名泄露漏洞工具
09-08
文件名泄露漏洞是指在IIS(Internet Information Services)服务器上,存在一种漏洞可以通过发送特定请求获得服务器上的文件名信息。 该漏洞可以被黑客利用来获取服务器上的敏感文件名,进而进行其他恶意行为,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值