iis 目录枚举文件枚举解决方案

最新推荐文章于 2023-06-17 14:30:00 发布
最新推荐文章于 2023-06-17 14:30:00 发布
阅读量601 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/oorz/p/6143883.html
版权
本文提供了一套实用的Windows系统及IIS服务器安全配置方案,包括禁用8.3格式、调整IIS权限、备份及重命名文件夹、设置只读权限、修复.NET Framework、安装防护软件等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.关闭windows的8.3格式功能。

  修改注册表键值:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

  修改NtfsDisable8dot3NameCreation为1。

2.iis设置目录浏览、写入权限权限去掉,执行权限调整为纯脚本

3. 将应用程序文件夹的内容拷贝到另一个位置,比如D:\www到D:\www.back,然后删除原文件夹D:\www,再重命名D:\www.back到D:\www重新复制,已经存在的短文件名才会消失的,否则不会消失。

4.应用程序文件及文件夹权限设为只读模式,防止篡改。

5.排查修复NET Framework。

6.安装iis防护软件,防止恶意攻击,网马查杀。

7.重启电脑,确保所有设置修改生效。

 

以上是实际工作用所使用的,有整理不到的地方,大家请留言告知,共同讨论。

转载于:https://www.cnblogs.com/oorz/p/6143883.html

IIS下ASP目录漏洞和IIS分号漏洞(;)的临时解决方法
01-20
解决方法: 下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来。...这样就能防止这两个IIS漏洞了,是要这两条规则有效就行了,ISAPI_Rewrite目录下面的httpd.ini是全局配置文件
iis6提权文件
03-04
IIS (Internet Information Services) 是微软提供的一个集成的解决方案,用于在Windows操作系统上搭建Web服务器、FTP服务器等。IIS6是随Windows Server 2003系统一起发布的版本,在当时非常流行。 #### 二、“IIS6...
Microsoft IIS波浪号目录枚举/IIS文件枚举漏洞
weixin_44664530的博客
06-11 8921
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 复现: /images//*~1*/a.aspx?aspxerrorpath=/ 危害: 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 解决方案:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation的值为1,或者,
Microsoft IIS文件名/目录枚举漏洞修复步骤
hzfw2008的博客
07-30 1万+
近期网站系统被扫描出漏洞:短文件名/目录枚举漏洞Microsoft IIS tilde directory enumeration 危害级别:轻微 IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...
IIS目录枚举漏洞修复
iokla
09-13 2777
1.关闭NTFS 8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。 修改注册表项:(重启服务器生效)HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation值为1。 2.执行DOS命令, fsutil behavior set disable8dot3 1 3.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - A
IIS配置错误解析与解决方案
"iis配置的几个常见错误" 在配置IIS(Internet Information Services)时,可能会遇到各种问题,这些问题可能导致服务器无法...在处理这类问题时,查阅微软的技术支持文档和官方论坛通常会找到很多有用的解决方案
NsisIIS 插件:Microsoft IIS 管理的开源解决方案
2. **创建/修改/删除/枚举/读取虚拟目录**:这一系列操作说明插件可以对IIS中的虚拟目录进行全面的管理。虚拟目录允许你为Web服务器上的文件创建别名,为用户提供一个不同的目录视图,而无需移动文件本身。 3. **...
IIS文件名漏洞利用工具
07-31
本工具可以测试IIS对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的短文件名:包括文件文件名。
Microsoft IIS tilde directory enumeration 可能的解决方法之一
tinyleaf的博客
04-24 4718
参考网址: https://www.cnblogs.com/cdemo/p/4581515.html   解决方式: 1:IIS6.1版本以下 针对IIS添加微软URLScan  ISAPI筛选器,具体过程请自我搜索! 2:针对IIS6.1以上版本,由于内部默认集成筛选器过滤。请在IIS服务器跟节点 功能视图中 找到 请求筛选  URL 和 查询字符串中 添加 ~  * 等字符 第一个...
Microsoft IIS文件名/目录枚举漏洞
收集盒 Book box
09-16 7058
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件 IIS Short File/Folder Name Disclosure by using tilde “~” character
IIS文件名暴力枚举漏洞利用工具(IIS shortname Scanner)
热门推荐
专注企业信息安全-sec
11-23 1万+
上文我已经介绍了IIS文件名暴力枚举漏洞的成因和利用。 这里只是发出昨天写的脚本。 脚本可以测试对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的短文件名:包括文件文件名。 网上早前已经有公开的工具了:https://code.google.com/p/iis-shortname-scanner-poc/ 我没有参考他的代码。自己用python实现了一个漏洞利用脚本。简单测试,...
怎样用程序设置iis的[允许控制密码项]
greystar的专栏
12-28 1903
http://community.youkuaiyun.com/Expert/topic/3472/3472946.xml?temp=.7222864创建虚拟目录     DirectoryEntry是.Net给我们的一大礼物,他的名字我们就知道他的功能--目录入口。使用过ADSI的人都知道操作IIS,WinNT这些时,我们还需要提供他们的Path,操作IIS时,这个Path的格式为:     IIS://C
IIS 文件枚举解析漏洞
煜铭2011
10-08 8562
0x01 介绍 1 Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器。IIS7/7.5当以CGI的方式运行PHP时,在处理PHP文件路径的解析时存在问题。如果网站允许上传文件,而且上传文件路径可得到,远程攻击者可以利用此漏洞上传包含恶意代码的文件并得到执行,实现以Web进程权限执行任意命令。攻击者上传允许上传的文...
【Burpsuite技巧二】IIS上传文件后缀枚举
redwand的博客
02-05 955
在渗透测试过程中,当我们遇到一个windows操作系统的web上传点时,首先要做的是看后台对文件上传后缀做了限制,是黑名单规则,还是白名单规则。实际上,无论黑名单还是白名单,我们都期望能够上传一个可以被IIS容器解析执行的后缀文件,这是一个黑盒测试的过程,本文以burpsuite这个工具为例,介绍这个黑盒测试的一个小套路。
常见安全漏洞及其解决方案
最新发布
m0_61869253的博客
06-17 1751
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
IIS文件名泄露漏洞危害及防范方法
weixin_34406796的博客
04-08 851
危害级别:轻微  IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 1.Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsof...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值