IIS 短文件和文件夹泄漏漏洞分析

“IIS 短文件和文件夹泄漏漏洞”最近被炒得很火热,因为像以前什么注入漏洞、跨站脚本攻击炒过了之后,自然要炒个新的概念出来才对得起买他们安全设备的客户。

其实这个的意思就是更方便猜测我们的网站上有哪些文件。

如果我们的网站文件不保密、如果我们的网站文件无漏洞,那这个就无所谓漏洞了。

其实就好像是做生意的,把门牌号贴到网上,并不算不安全。

但如果是个秘密基地,把门牌号贴到网上,就算不安全了。

当然安全厂商是不管这些的,好不容易抓住一个所谓的漏洞,当然要宣传宣传。

这个源由是 Windows 为了兼容以前的短文件名设置的(以前文件名只能 8 个字符 + 3 个扩展名)。

要关闭这个有两个方法:

法一、关闭这个兼容设置,对新文件有效,对老文件的话,据说设置后要剪切出来再复制回去才生效。

先在命令提示符中输入:fsutil.exe 8dot3name query

一般结果是这个:NtfsDisable8dot3NameCreation 的注册表状态为默认值 2 (卷级别设置)。

就是说不同卷单独设置。

我们再输入这个命令:fsutil.exe 8dot3name set 1

意思就是将值设置为 1,就是说:禁用所有卷上的 8dot3 名称创建。

法二、直接在 IIS 中禁。

IIS 是有个 URL 重写,老版本 IIS 需要单独下载这个插件,新版本的话,新版本就没那么麻烦了。

进入后,写一个规则禁止 URL 中含有 ~。

时间: 2024-10-23 19:57:38

IIS 短文件和文件夹泄漏漏洞分析的相关文章

IIS短文件和文件夹泄漏漏洞的分析

IIS是有微软使用微软windows功能扩展模块创建的一套web服务器应用程序,是世界上第三个最流行的服务器. 漏洞描述: 漏洞研究小组发现了一个微软IIS的漏洞,攻击者可以利用一个包含"~"的get请求,来让服务器上的文件和文件夹被泄漏. 影响版本: IIS 1.0, Windows NT 3.51 IIS 2.0, Windows NT 4.0 IIS 3.0, Windows NT 4.0 Service Pack 2 IIS 4.0, Windows NT 4.0 Option

求一个递归修改文件夹内全部子文件和文件夹名的程序(batch或者perl)

问题描述 求一个递归修改文件夹内全部子文件和文件夹名的程序(batch或者perl) 需求是这样的: 递归修改文件夹中所有名字带"aaa"字符串的 文件夹名或者文件名改成 bbb 例如: 01_aaa |_01_aaa_01 |_nbdaaa_01.txt |_nbcaaa_02.txt |_02_aaa_01 改成 01_bbb |_01_bbb_01 |_nbdbbb_01.txt |_nbcbbb_02.txt |_02_bbb_01 解决方案 http://blog.163.c

mfc 如何通过checkbox控件选择文件夹路径

问题描述 mfc 如何通过checkbox控件选择文件夹路径 我创建一个mfc 工程, 如何通过checkbox控件弹出一个对话框选择文件夹路径,并获取该文件夹的路径.求大神指导 解决方案 勾上check box后,就调用跳出文件选择对话框 CString strFilePath; TCHAR pszBuffer[_MAX_PATH]; BROWSEINFO bi; LPITEMIDLIST pidl; bi.hwndOwner = NULL; bi.pidlRoot = NULL; bi.ps

IIS 6.0文件夹解析漏洞的补救办法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 事件:早前有暴出一个IIS6.0下文件名解析漏洞,遇到upload/1.asp/200912041704063114.jpg会自动解析成asp文件执行.此漏洞产生在IIS6.0,处理文件夹扩展名出错导致以.asp命名的文件夹后面的文件直接以asp代码执行.所以无论*.asp文件夹后面是什么格式的文件都被当作ASP程序执行.同理可得只要是可执行

IIS PHP环境Temp文件夹的权限问题引起的网站故障_win服务器

前几天不知为何,服务器抽风严重- 服务器非常慢,把WINDOWS2003重启了,结果连不上服务器.结果悲剧的去了机房. 查找不出什么问题,GHOST恢复系统. 几天后回去又装了个新站上去.再过两天后,问题又出现了. 排查过程 检查网页服务器,病毒,木马?是否被入侵? 检查数据库服务器,CPU,内存,网络一切正常,相应的端口也做了 IP 限制,只允许网页服务器访问,查看日志文件也没有异常情况 检查其余的 .Net 网站,速度正常,没有任何问题 检查其余的 Php 网站,架构方法一样,也没有任何问题

深入了解以“.”结尾的文件夹_漏洞研究

没见过这样的文件夹或是不知道我要说什么?看下面这张图就会知道了. 其中有六个文件夹是以 . 结尾的.你可以试着在windows模式下直接创建这样的文件夹,但是你会发现你永远无法得到以 . 结尾的文件夹.这是为什么?你可以在cmd下输入 md x..\ 来创建 x. 文件夹,而不是 x.. 文件夹,这又是为什么?我敢保证如果你能在windows模式下创建一个文件夹并且成功输入 x..\ 这些字符的话,文件夹的名字必定是 x. !不过遗憾的是windows会在你按下键盘的 \ 符号时提示"文件名不能

关于PHP文件包含一些漏洞分析

基本的文件包含漏洞:  代码如下 复制代码 <?php include("includes/" . $_GET['file']); ?> * 包含同路径下的文件: ?file=.htaccess * 路径遍历: ?file=../../../../../../../../../var/lib/locate.db (该文件非常有趣因为它允许你搜索文件系统) * 包含注入PHP代码的文件: ?file=../../../../../../../../../var/log/apa

服务器性能变慢 c盘temp文件夹存在大量sess开头文件的问题原因及解决_win服务器

通过搜查找到了问题所在并进行了解决,在此详细记录以供参考. 一. temp文件夹大量文件的删除 以sess开头的存在于temp系统临时文件夹的文件,是php的session保存文件,由于php建立了session却在过期后没有成功删除,于是导致大量文件的积累. 清理方法很简单,新建批处理文件del_temp.bat,其中写入如下命令: 复制代码 代码如下: del %TEMP% /s /q *.* 保存后双击运行,即开始进行删除处理(也可直接在cmd命令行中输入执行)你也可以将其加入开机启动项,

如何为Outlook 2007设文件夹区分不同账号Email

因为outlook在很多功能方面没foxmail设置来得简单,就比如为每个账号Email生成一个文件夹,outlook只能通过规则策略来达到这个效果.所以对于自己实际应用做总结: 第一步:先在Outlook 2007收件夹下建立文件夹,用来存放相应帐号的邮件:比如先建立一个126文件夹,然后在126文件夹下面再建两个子文件夹,分别为收件箱和发件箱. 在Outlook 2007主窗口上依次点击"工具"→"规则和通知",在"规则和通知"窗口中点击&q