IIS短文件漏洞修复

543次阅读
没有评论

IIS 短文件漏洞修复

近期网站系统被扫描出漏洞:IIS 短文件 / 文件夹漏洞

漏洞级别: 中危漏洞

漏洞地址: 全网站

漏洞描述:IIS 短文件名泄露漏洞,IIS 上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件。

漏洞危害: 攻击者可利用“~”字符猜解或遍历服务器中的文件名,或对 IIS 服务器中的.Net Framework 进行拒绝服务攻击。

漏洞造成原因: 没有禁止 NTFS8.3 格式文件名创建。

网上有建议将.net Farrmework 升级至 4.0 能修复此漏洞,但系统框架已为 4.0 版本,经扫描漏洞依然存在。

 

结合资料整理修复方案:

1、修改注册表项:(重启服务器生效)

HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation

值为 1。

2、执行 DOS 命令,fsutil behavior set disable8dot3 1

3、删除现有的 IIS 目录重新部署,完成此步骤才能完全修复。

此操作已进行安全渗透扫描,未继续发现 IIS 短文件漏洞。

正文结束
 
欢迎加入 Telegram 群 https://t.me/Fit10086
文章教程好用记得留言支持啊
评论(没有评论)
载入中...