Web 目錄列舉與遍歷漏洞解決
阿新 • • 發佈:2018-12-23
“目錄列舉漏洞”解決方法
一、名詞解釋
網站目錄列舉漏洞:指黑客利用非法攻擊手段掃描符合“8.3”命名原則的目錄與檔案。
二、驗證工具:scanner-compiled
三、驗證方法
圖 1
四、解決方法
1、開啟登錄檔,進入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem,新建 DWORD值 NtfsDisable8dot3NameCreation,選擇十六進位制,修改值為 1,如下所示:
圖 2
2、重啟系統使得修改生效.(該步驟不能省)
3、將存在隱患的目錄重新發布(相當於重新寫檔案或寫目錄,此時生成的檔案或目錄不會按“8.3”原則命名,即黑客攻擊時掃描不出符合的檔案)
五、驗證結果:
1、修改前截圖如下:
圖 3
2、修改後截圖如下:
圖 4
結論:上述步驟經驗證是可解決問題的。
備註:附件為攻擊掃描程式碼(請不要使用此程式碼掃描現網釋出的目錄)
“目錄遍歷漏洞”解決方法
一、名詞解釋
網站目錄遍歷漏洞:指程式中未過濾使用者輸入的../和./之類的目錄跳轉符,導致惡意使用者可以
通過提交目錄跳轉來遍歷伺服器上的任意檔案。
二、驗證工具:webcruiser-v2.40
三、驗證方法
四、解決方法
1、右鍵點選站點,選擇“屬性”,在“虛擬目錄”選項卡中取消“目錄瀏覽”勾選,點選“確
定”,如圖所示:
五、驗證結果
修改前 Xpath Injection 注入掃描結果:
修改後 Xpath Injection 注入掃描結果:
結論:上述步驟經驗證是可解決問題的。
備註:附件為攻擊掃描程式碼(請不要使用此程式碼掃描現網釋出的目錄)