邢台奥祥网络网站建设
 
24小时咨询热线:
  专注于高品质网站建设系统开发、系统制作、网站维护、网站推广营销、软件开发、微信开发
   

IIS短文件名泄露漏洞?

发布日期:2016-1-27 15:57:04

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

    Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

  攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。


  http://test/\%2Fconnec~1.as*\%2Fx.aspx 如果存在connec开头的asp,aspx等类似文件,将返回文件不存在的错误,否则将返回非法请求。

临时解决的办法:
 修改方法:

1)修改注册列表HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation的值为1,或者,可以直接点文章的附件下载,然后运行,再重启下机器。(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除 (点我下载)   

2)如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 --- Web 服务扩展 - ASP.NET 选择禁止此功能。同时对.net用户权限进行限制。

3)升级net framework 至4.0以上版本确保安全. (强烈推荐!)但是有的程序是在.netframwork2.0下开发的,你直接切换后会出错。遇到这种情况,我们可为你提供更有效的方式,采取特殊的策略来防御或部署SECKING WAF 来彻底有效防御,直接从应用层进行防御规则拦截非法请求,是至今最有效最高效的解决办法。

     如果对安全需求比较高,建议可采用SECKING WAF进行防护.直接在安全策略里开启 “iis短文件名泄露”策略即可。

 
上一条: iis8.5显示ASP的详细错误信息500 内部服务器错误解决方法 下一条: Now()函数 输出日期时间带有"上午、下午"的彻底解决办法


奥祥网络 服务项目 系统开发 联系我们 在线反馈
邢台做网站公司
邢台网站制作公司
邢台网站优化公司
邢台网站建设公司
邢台系统开发公司
品牌网站建设
网站改版
手机网站制作
微信网站制作
网站百度排名

邢台学生社团报名系统开发
物业报修系统开发
邢台在线答题系统开发
邢台投票系统开发
邢台短信平台

电话:15081754822
QQ:125856421
Email:125856421@qq.com
NAME
TEL
   业务咨询
 给邢台做网站公司奥祥网络发信息 在线客服
 给邢台做网站公司奥祥网络发信息 在线客服
 在线客服
15081754822