一�、IIS短文件名泄露漏洞簡介
Internet Information Services(IIS����,互聯(lián)網(wǎng)信息服務(wù))是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)。
Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞�,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。 020危害:攻擊者可以利用“~”字符 猜解或遍歷服務(wù)器中的文件名�����,或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊。 020解決方案:三種修復(fù)方案只有第二和第三種能徹 底修復(fù)該問題,可以聯(lián)系空間提供商協(xié)助修改.
二���、IIS短文件名泄露漏洞修復(fù)解決方案
方案1、修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation的值為1,或者����,可以直接點(diǎn)此下載,然后運(yùn)行,再重啟下機(jī)器���。(此修改只能禁止 NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除)�����。該修改不能完全修復(fù),只是禁止創(chuàng)建推薦使用后面的修復(fù)建議��。
方案2�、如果你的網(wǎng)站建設(shè)部署時�����,web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 --- Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能����。(推薦)
方案3、升級net framework 至4.0以上版本.(推薦)