极客观点
项目管理
HarmonyOS
IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件。
攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。
修复方案里推荐升级net framework 至4.0以上版本.
4.0以上的net framework就不存在短文件名的漏洞了?
我的有台2003的机器上用的是4.x的net framework 还是报IIS目录枚举漏洞·
何解?
IIS短文件名泄露漏洞
阅读 4.7k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
第一步.修改注册表禁用短文件名功能,找到路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1,1代表不创建短文件名格式,修改完成后,需要重启系统生效。
第二步.复制站点,修改名称,例如D:www复制到D:www.back。然后删除源文件,之后再重命名www.back为www
亲测有效,修改完后可以用脚本测试一下。脚本地址:https://github.com/lijiejie/I...