“目录枚举漏洞”解决方法

一、名词解释

网站目录枚举漏洞：指黑客利用非法攻击手段扫描符合“8.3”命名原则的目录与文件。

二、验证工具：scanner-compiled

三、验证方法



图 1

四、解决方法

1、打开注册表，进入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem，新建 DWORD值 NtfsDisable8dot3NameCreation，选择十六进制，修改值为 1，如下所示：



图 2

2、重启系统使得修改生效.（该步骤不能省）

3、将存在隐患的目录重新发布（相当于重新写文件或写目录，此时生成的文件或目录不会按“8.3”原则命名，即黑客攻击时扫描不出符合的文件）

五、验证结果：

1、修改前截图如下：



图 3

2、修改后截图如下：



图 4

结论：上述步骤经验证是可解决问题的。

备注：附件为攻击扫描代码（请不要使用此代码扫描现网发布的目录）

“目录遍历漏洞”解决方法

一、名词解释

网站目录遍历漏洞：指程序中未过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以

通过提交目录跳转来遍历服务器上的任意文件。

二、验证工具：webcruiser-v2.40

三、验证方法



四、解决方法

1、右键点击站点，选择“属性”，在“虚拟目录”选项卡中取消“目录浏览”勾选，点击“确

定”，如图所示：

五、验证结果

修改前 Xpath Injection 注入扫描结果：



修改后 Xpath Injection 注入扫描结果：



结论：上述步骤经验证是可解决问题的。

备注：附件为攻击扫描代码（请不要使用此代码扫描现网发布的目录）