iis波浪号目录枚举漏洞威胁
解决办法:
(一)关闭NTFS8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。
从CMD命令关闭NTFS 8.3文件格式的支持
Windows Server 2003: (1代表关闭,0代表开启) 关闭该功能命令:fsutil behavior set disable8dot3 1
Windows Server 2008 R2:查询是否开启短文件名功能命令:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1
不同系统关闭命令稍有区别,该功能默认是开启的.
(二)如果是虚拟主机空间用户,可采用以下修复方案:
1)修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。
2)如果你的web环境不需要asp.net的支持你可以进入Internet信息服务(IIS)管理器—Web服务扩展–ASP.NET选择禁止此功能。
3)升级netframework至4.0以上版本。
(三)将web文件夹的内容拷贝到另一个位置,比如D:\w到D:\w.back,然后删除原文件夹D:\w,再重命名D:\w.back到D:\w。如果不重新复制,已经存在的短文件名则是不会消失的。
(四)对于虚拟主机空间用户,如果还不能彻底修复该问题,可以联系空间提供商协助修改。
(五)正确设置404错误页面:
根目录下的web.config文件中包含以下代码,并设置404.html文件
<httpErrors>
<remove statusCode="404" subStatusCode="-1" />
<error statusCode="404" prefixLanguageFilePath="" path="/404.html" responseMode="ExecuteURL" />
</httpErrors>
本文地址:http://aq.qingshan.org.cn/zzseo/826.html
本文标题:iis波浪号目录枚举漏洞威胁