近期网站系统被扫描出漏洞:IIS 短文件 / 文件夹漏洞
漏洞级别: 中危漏洞
漏洞地址: 全网站
漏洞描述:IIS 短文件名泄露漏洞,IIS 上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件。
漏洞危害: 攻击者可利用“~”字符猜解或遍历服务器中的文件名,或对 IIS 服务器中的.Net Framework 进行拒绝服务攻击。
漏洞造成原因: 没有禁止 NTFS8.3 格式文件名创建。
网上有建议将.net Farrmework 升级至 4.0 能修复此漏洞,但系统框架已为 4.0 版本,经扫描漏洞依然存在。
结合资料整理修复方案:
1、修改注册表项:(重启服务器生效)
HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation
值为 1。
2、执行 DOS 命令,fsutil behavior set disable8dot3 1
3、删除现有的 IIS 目录重新部署,完成此步骤才能完全修复。
此操作已进行安全渗透扫描,未继续发现 IIS 短文件漏洞。
正文结束
