iis7.5短文件名 IIS短文件名泄露漏洞 - IIS - 服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > Web服务器 > IIS

iis7.5短文件名 IIS短文件名泄露漏洞

发布时间:2017-05-06 来源:服务器之家

   3、漏洞危害

  中等

   4、影响范围(几乎所有IIS版本)

  IIS 1.0, Windows NT 3.51

  IIS 2.0, Windows NT 4.0

  IIS 3.0, Windows NT 4.0 Service Pack 2

  IIS 4.0, Windows NT 4.0 Option Pack

  IIS 5.0, Windows 2000

  IIS 5.1, Windows XP Professional and Windows XP Media Center Edition

  IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition

  IIS 7.0, Windows Server 2008 and Windows Vista

  IIS 7.5, Windows 7 (error remotely enabled or no web.config)

  IIS 7.5, Windows 2008 (classic pipeline mode)

   5、漏洞描述

  windows下通过~表示短文件名,如:test~1, 在IIs中可通过短我文件名的方式判断目标文件是否存在,从而降低文件名暴力猜解的难度。

   6、漏洞检查方式

  可使用

   7、防护建议

  1、禁止url中使用“~”或它的Unicode编码。
  2、关闭windows的8.3格式功能。

下面这个是来自360的关于此漏洞的更一步说明: