阻止“IIS短文件名泄露”

1.    简介:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

2.    检测方法:http://www.xxxx.com/defaul*~1*/.aspx,将log换成你的文件名的前几位,如返回404则代表文件存在,如返回bad request则代表文件不存在,如有以上现象,则存在此漏洞。

3.    修复方法:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,重启服务器。

4.    注意:此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,可选择将网站文件删除,再重新上传即可解决此问题。升级.net framework v4.0无帮助。重新命名网站主目录无帮助。

5.    已存在的网站对后设置的会不起作用,解决方法是可以删除文件然后再把文件拷贝回来。

阅读更多
文章标签: .net
想对作者说点什么? 我来说一句

iis文件名漏洞

2017年09月07日 1KB 下载

IIS文件名漏洞测试

2017年09月19日 574KB 下载

IIS文件名泄露解决

2013年03月18日 65KB 下载

IIS文件名漏洞利用工具

2012年11月07日 27KB 下载

没有更多推荐了,返回首页

不良信息举报

阻止“IIS短文件名泄露”

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭