問:
IIS短文件名泄露漏洞
WASC Threat Classification
020
發(fā)現(xiàn)時間:
2013-02-18
020漏洞類型:
信息泄露
020所屬建站程序:
其他
020所屬服務(wù)器類型:
IIS
020所屬編程語言:
其他
020描述:Microsoft IIS在實現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。+ 展開
020危害:攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名���,或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊�����。020 解決方案:
三種修復(fù)方案只有第二和第三種能徹底修復(fù)該問題,可以聯(lián)系空間提供商協(xié)助修改.
方案1.修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1,或者����,可以直接點此下載�,然后運(yùn)行,再重啟下機(jī)器。(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除)����。該修改不能完全修復(fù),只是禁止創(chuàng)建推薦使用后面的修復(fù)建議
方案2.如果你的web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 --- Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能。(推薦)
方案3.升級net framework 至4.0以上版本.(推薦)
020 020
如果您因為技術(shù)原因無法修復(fù)漏洞����,請進(jìn)入360站長論壇尋求幫助
答:感謝您的提議,有些客戶還是需要.NET4.0以下版本的��,我們這里有專門的防護(hù)軟件做過濾的,安全性應(yīng)該會有保證�����! |
