Web 目录枚举与遍历漏洞解决
2024-09-04 15:36:59
“目录枚举漏洞”解决方法
一、名词解释
网站目录枚举漏洞:指黑客利用非法攻击手段扫描符合“8.3”命名原则的目录与文件。
二、验证工具:scanner-compiled
三、验证方法
图 1
四、解决方法
1、打开注册表,进入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem,新建 DWORD值 NtfsDisable8dot3NameCreation,选择十六进制,修改值为 1,如下所示:
图 2
2、重启系统使得修改生效.(该步骤不能省)
3、将存在隐患的目录重新发布(相当于重新写文件或写目录,此时生成的文件或目录不会按“8.3”原则命名,即黑客攻击时扫描不出符合的文件)
五、验证结果:
1、修改前截图如下:
图 3
2、修改后截图如下:
图 4
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
“目录遍历漏洞”解决方法
一、名词解释
网站目录遍历漏洞:指程序中未过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以
通过提交目录跳转来遍历服务器上的任意文件。
二、验证工具:webcruiser-v2.40
三、验证方法
四、解决方法
1、右键点击站点,选择“属性”,在“虚拟目录”选项卡中取消“目录浏览”勾选,点击“确
定”,如图所示:
五、验证结果
修改前 Xpath Injection 注入扫描结果:
修改后 Xpath Injection 注入扫描结果:
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
最新文章
- wex5 实战 省市县三级联动与地址薄同步
- [saiku] 使用 Apache Phoenix and HBase 结合 saiku 做大数据查询分析
- 浅谈Redis数据库的键值设计(转)
- hibernate注解@JoinTable说明
- C++ 利用socket实现TCP,UDP网络通讯
- LeetCode_ 4 sum
- WM_PAINT消息详解,使用InvalidateRect或InvalidateRgn函数刻意产生WM_PAINT消息(WIN7里有变化,“调整视觉效果”,将“启用桌面组合”去掉)
- [LeetCode116]Path Sum
- centos7配置dhcp
- php 后端跨域请求
- [LeetCode] Maximum Width of Binary Tree 二叉树的最大宽度
- 面试(二)---synchronized
- centos 7安装pycharm
- Android:随机生成算数四则运算简单demo(随机生成2~4组数字,进行加减乘除运算)
- angularjs i18n
- 快乐!ajax入门(1)
- java去除表达符号的正则表达式
- linux 安装【jdk、tomcat】查看对外开放端口(防火墙拦截处理)
- uva-10602-贪心
- maven插件的使用
热门文章
- 在linux中启动mysql服务的命令
- bzoj1264 [AHOI2006]基因匹配Match 树状数组+lcs
- 飞扬的小鸟(NOIP2014)(丧病DP题)
- 《Linux命令、编辑器与shell编程》第三版 学习笔记---001
- awk 二
- Appium+python自动化13-native和webview切换【转载】
- 新疆大学ACM-ICPC程序设计竞赛五月月赛(同步赛)C	勤奋的杨老师【DP/正反LIS/类似合唱队形】
- 洛谷——P1991 无线通讯网
- kibana- Timelion
- WSS3SDK之:服务器和站点架构:对象模型概览