台灣最大程式設計社群網站
線上人數
1221
 
會員總數:246134
討論主題:189713
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 程式漏洞掃描問題Microsoft IIS tilde directory enumeration
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
程式漏洞掃描問題Microsoft IIS tilde directory enumeration
價值 : 300 QP  點閱數:12388 回應數:1
樓主

喇叭o
門外漢
0 34
685 101
發送站內信

我們網站有用 Acunetix Website Audit 掃描
他掃出一個高風險的問題
內容是
It is possible to detect short names of files and directories which have an 8.3 file naming scheme equivalent in Windows
by using some vectors in several versions of Microsoft IIS. For instance, it is possible to detect all short-names of ".aspx"
files as they have 4 letters in their extensions. This can be a major issue especially for the .Net websites which are
vulnerable to direct URL access as an attacker can find important files and folders that they are not normally visible.

他有給一個建議的網站跟pdf
http://code.google.com/p/iis-shortname-scanner-poc/
http://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf

後來有跟工程師討論 他說看起來是網站有太多相同的名字
例如download1-2...download1-2....之類的有很多
導致有人可能用網址列來找出秘密的檔案

請問各位先進大概知道是什麼問題嗎
感謝幫忙∼∼∼∼!!!

搜尋相關Tags的文章: [ IIS ] , [ 資訊安全 ] , [ 漏洞 ] , [ 風險 ] , [ 掃描 ] ,
本篇文章發表於2012-10-01 14:36
1樓
最有價值解答

香帥
檢舉此回應
那篇文章
有建議
“Dir /x ~”這指令去看看有多少長檔名減縮成8.3格式
還有另一個附有java的source code可以掃描長檔名減縮的檔案或目錄
掃出來之後再去一一檢查會不會有影響安全性
那就照建議去做吧
本篇文章回覆於2012-10-03 00:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.