Web 目录枚举与遍历漏洞解决
来源:互联网 发布:淘宝客服介入流程 编辑:程序博客网 时间:2024/06/08 18:47
“目录枚举漏洞”解决方法
一、名词解释
网站目录枚举漏洞:指黑客利用非法攻击手段扫描符合“8.3”命名原则的目录与文件。
二、验证工具:scanner-compiled
三、验证方法
图 1
四、解决方法
1、打开注册表,进入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem,新建 DWORD值 NtfsDisable8dot3NameCreation,选择十六进制,修改值为 1,如下所示:
图 2
2、重启系统使得修改生效.(该步骤不能省)
3、将存在隐患的目录重新发布(相当于重新写文件或写目录,此时生成的文件或目录不会按“8.3”原则命名,即黑客攻击时扫描不出符合的文件)
五、验证结果:
1、修改前截图如下:
图 3
2、修改后截图如下:
图 4
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
“目录遍历漏洞”解决方法
一、名词解释
网站目录遍历漏洞:指程序中未过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以
通过提交目录跳转来遍历服务器上的任意文件。
二、验证工具:webcruiser-v2.40
三、验证方法
四、解决方法
1、右键点击站点,选择“属性”,在“虚拟目录”选项卡中取消“目录浏览”勾选,点击“确
定”,如图所示:
五、验证结果
修改前 Xpath Injection 注入扫描结果:
修改后 Xpath Injection 注入扫描结果:
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
0 0
- Web 目录枚举与遍历漏洞解决
- 如何解决 Apache Tomcat 目录遍历漏洞
- ColdFusion8目录遍历漏洞
- 目录遍历漏洞
- 目录遍历漏洞
- 目录遍历漏洞详解
- 文件上传下载中的安全问题(上传漏洞与目录遍历攻击)
- 文件上传下载中的安全问题(上传漏洞与目录遍历攻击)
- Allaire JRun 目录遍历漏洞
- 目录遍历漏洞的探测
- 解决IIS6目录检查漏洞
- 渗透测试之目录遍历漏洞
- 快速枚举与NSEnumerator枚举遍历数组
- Microsoft IIS 短文件名/目录名 枚举漏洞
- Grep与web漏洞挖掘
- Grep与web漏洞挖掘
- WEB漏洞检测与挖掘
- 使用NSFileManager枚举目录种的内容(遍历目录)
- android圆形头像
- Hashtable 源代码
- android
- 下拉加载更多DEMO(js实现)
- ajaxfileupload不支持响应头ContentType为application/json的设置
- Web 目录枚举与遍历漏洞解决
- 深度学习:实际问题解决指南
- CANopen预定义连接集
- 好的文章收藏
- Linux命令
- UML
- Getting the System Version
- Deep Learning in a Nutshell: Core Concepts
- Redmine使用介绍