|
| 空間檢測(cè)存在漏洞請(qǐng)修復(fù) |
問(wèn):
IIS短文件名泄露漏洞
WASC Threat Classification
020
發(fā)現(xiàn)時(shí)間:
2013-02-18
020漏洞類型:
信息泄露
020所屬建站程序:
其他
020所屬服務(wù)器類型:
IIS
020所屬編程語(yǔ)言:
其他
020描述:Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞�����,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件�����。+ 展開
020危害:攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名,或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊�����。020 解決方案:
三種修復(fù)方案只有第二和第三種能徹底修復(fù)該問(wèn)題,可以聯(lián)系空間提供商協(xié)助修改.
方案1.修改注冊(cè)列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1,或者���,可以直接點(diǎn)此下載����,然后運(yùn)行,再重啟下機(jī)器�。(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無(wú)法移除)。該修改不能完全修復(fù),只是禁止創(chuàng)建推薦使用后面的修復(fù)建議
方案2.如果你的web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 --- Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能���。(推薦)
方案3.升級(jí)net framework 至4.0以上版本.(推薦)
020 020
如果您因?yàn)榧夹g(shù)原因無(wú)法修復(fù)漏洞����,請(qǐng)進(jìn)入360站長(zhǎng)論壇尋求幫助
答:感謝您的提議,有些客戶還是需要.NET4.0以下版本的���,我們這里有專門的防護(hù)軟件做過(guò)濾的��,安全性應(yīng)該會(huì)有保證�����! |
常見(jiàn)問(wèn)題列表
上一個(gè)問(wèn)題 |
|
》海外免備案為什么還是需要備案�? |
》申請(qǐng)數(shù)據(jù)轉(zhuǎn)移工單 |
》服務(wù)器fsockopen |
》我要綁定新域名怎么操作啊 |
》我公司提供的免費(fèi)空間以及基本型空間需要將Discuz程序安裝在子目錄�,只有增強(qiáng)型以上的空間才支持根目錄安裝。這句話什么意思 |
》頁(yè)面不能出現(xiàn)淘寶的字樣嗎���? |
》數(shù)據(jù)庫(kù)因空間超出被暫停 |
》空間暫停 |
》國(guó)內(nèi)免費(fèi)需備案(120M)不是說(shuō)明即開即用的嗎���?怎么不能用? |
》請(qǐng)問(wèn)免費(fèi)空間的服務(wù)器的ASP腳本超時(shí)時(shí)間默認(rèn)是多少呢��? |
