zoukankan      html  css  js  c++  java
  • IIS短文件名泄露漏洞危害及防范方法

    危害级别:轻微 

    IIS短文件名泄露漏洞

    WASC Threat Classification

    描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

    1.Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

    Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 

    危害: 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 

    解决方案: 

    1.关闭NTFS 8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。

    如果是虚拟主机空间用户,请联系空间提供商进行修复。

    修改方法:

    1)修改注册列表HKLMSYSTEMCurrentControlSetControlFileSystem NtfsDisable8dot3NameCreation的值为1,或者,可以直接点此下载,然后运行,再重启下机器。(此修改只能禁止 NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除),

    2)如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 --- Web 服务扩展 - ASP.NET 选择禁止此功能。

    3)升级net framework 至4.0以上版本.

    攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。

  • 相关阅读:
    HDFS的滚动升级: Rolling Upgrade
    HDFS自定义小文件分析功能
    HDFS自定义小文件分析功能
    HDFS Federation机制
    HDFS Federation机制
    Confluence 6 配置一个数据源连接
    Confluence 6 在数据源连接中启用校验查询
    Confluence 6 从你的 JDBC 连接中直接启用校验查询
    Confluence 6 针对你的数据库类型确定校验 SQL
    Confluence 6 从关闭的连接中恢复
  • 原文地址:https://www.cnblogs.com/milantgh/p/4402053.html
Copyright © 2011-2022 走看看