IIS短文件名漏洞在windows服務器上面非常常見,也就是利用“~”字符猜解暴露短文件/文件夾名,比如,采用這種方式構造URL:http://aaa.com/abc~1/.aspx,根據IIS返回的錯誤信息,猜測該路徑或文件是否存在,具體可參考這篇文章:http://www.freebuf.com/articles/4908.html。
就單純的解決這個問題來說,微軟的URLScan工具是最適合的一個輕量級工具,關鍵它是免費的,而且安裝、配置非常簡單。安裝過程就不說了,傻瓜式的。 安裝完畢之后,在需要做URL過濾的站點的屬性中,添加一個ISAPI篩選器,dll路徑位於:C:WINDOWSsystem32inetsrvurlscan。該目錄下還有一個配置文件:UrlScan.ini,微軟的這篇文章里講的比較詳細了:http://support.microsoft.com/kb/326444/zh-cn。
對於“~”字符的過濾就非常簡單了,在 [DenyUrlSequences] 節中加一個 ~ 就行了。 搞完收工,掃描通過。
PS:
1、IIS7中已經內置了該功能。(IIS-》請求篩選-》URL-》添加拒絕序列-》URL序列設置為【~】)
2、如果URL中用到中文字符,則需要將 AllowHighBitCharacters 設置為1。
最后
歡迎關注個人微信公眾號:Bypass--,每周一篇原創高質量的干貨。
