IIS短文件漏洞修复

时间:2021-11-07 03:30:31

近期网站系统被扫描出漏洞:IIS短文件/文件夹漏洞

漏洞级别:中危漏洞

漏洞地址:全网站

漏洞描述:IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件。

漏洞危害:攻击者可利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。

漏洞造成原因:没有禁止NTFS8.3格式文件名创建。

漏洞截图:

IIS短文件漏洞修复

 

在网上找了很多资料都没有达到修复效果,网上有建议将.net Farrmework升级至4.0能修复此漏洞,但系统框架已为4.0版本,经扫描漏洞依然存在。

 

结合资料整理修复方案:

1、修改注册表项:(重启服务器生效)

HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation

值为1。

2、执行DOS命令, fsutil behavior set disable8dot3 1

3、删除现有的IIS目录重新部署,完成此步骤才能完全修复。

 

此操作已进行安全渗透扫描,未继续发现IIS短文件漏洞。

IIS短文件漏洞修复