“目录枚举漏洞”解决方法
一、名词解释
网站目录枚举漏洞:指黑客利用非法攻击手段扫描符合“8.3”命名原则的目录与文件。
二、验证工具:scanner-compiled
三、验证方法
图 1
四、解决方法
1、打开注册表,进入 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem,新建 DWORD值 NtfsDisable8dot3NameCreation,选择十六进制,修改值为 1,如下所示:
图 2
2、重启系统使得修改生效.(该步骤不能省)
3、将存在隐患的目录重新发布(相当于重新写文件或写目录,此时生成的文件或目录不会按“8.3”原则命名,即黑客攻击时扫描不出符合的文件)
五、验证结果:
1、修改前截图如下:
图 3
2、修改后截图如下:
图 4
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
“目录遍历漏洞”解决方法
一、名词解释
网站目录遍历漏洞:指程序中未过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以
通过提交目录跳转来遍历服务器上的任意文件。
二、验证工具:webcruiser-v2.40
三、验证方法
四、解决方法
1、右键点击站点,选择“属性”,在“虚拟目录”选项卡中取消“目录浏览”勾选,点击“确
定”,如图所示:
五、验证结果
修改前 Xpath Injection 注入扫描结果:
修改后 Xpath Injection 注入扫描结果:
结论:上述步骤经验证是可解决问题的。
备注:附件为攻击扫描代码(请不要使用此代码扫描现网发布的目录)
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 零经验选手,Compose 一天开发一款小游戏!
· 因为Apifox不支持离线,我果断选择了Apipost!
· 通过 API 将Deepseek响应流式内容输出到前端
2013-11-19 使用 Mockito 单元测试 – 教程
2013-11-19 使用 JUnit 进行单元测试 - 教程
2013-11-19 你好