win2003 IIS6.0 如果使用asp.net4.0一下版本会存在IIS短文件名枚举漏洞,我们需要把asp.net升级到4.0及以上版本。同时也可以使用IIS 6.0的URLScan组件增加url中特殊字符的过滤。
一、首先下载URLScan 3.1
链接: https://pan.baidu.com/s/1_KlHGS0J3M-CgU9NGpxDVA?pwd=eg36 提取码: eg36
二、安装URLScan 3.1
安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
log:日志目录,开启日志记录功能,会在此目录下生成日志文件;
urlscan.dll:动态连接库文件;
urlscan.ini:软件配置文件。
三、配置urlscan.ini
打开urlscan.ini文件,找到[options],修改以下两个选项需要设置为1,防止因编码、特殊文件夹导致的系统故障:
[options]节点中
AllowHighBitCharacters=1 ;default is 0
AllowDotInPath=1 ;default is 0
日志记录选项
PerProcessLogging=0
PerDayLogging=0
找到[DenyUrlSequences]配置节,添加波浪号(~)行和星号(*)行
.. ; Don't allow directory traversals
./ ; Don't allow trailing dot on a directory name
\ ; Don't allow backslashes in URL
: ; Don't allow alternate stream access
% ; Don't allow escaping after normalization
& ; Don't allow multiple CGI processes to run on a single request
~
*
四、配置IIS站点
IIS管理--网站(右击属性)--ISAPI筛选器--点击【添加】--输入筛选器名称和和选择可执行文件路径--点击【确定】即可,参加下图
五、关于IIS7及以上版本,可通过【请求筛选】来修复此漏洞
相关文章