IIS短文件名泄露漏洞
【描述】
攻击者可以利用该漏洞猜解后台地址和敏感文件甚至直接下载对应文件,或对IIS服务器中的.Net Framework进行拒绝服务攻击。
【漏洞提示】
目标存在IIS短文件名泄露漏洞。Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。验证方式:打开目标页面如果提示Bad Request即证明存在漏洞。
【解决方案】
三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.
方案1.修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,或者,可以直接点此下载,然后运行,再重启下机器。(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。该修改不能完全修复,只是禁止创建推荐使用后面的修复建议
方案2.如果你的web环境不需要asp.net的支持你可以进入Internet
信息服务(IIS)管理器 --- Web 服务扩展 - ASP.NET 选择禁止此功能。(推荐)
方案3.升级net framework至4.0以上版本.(推荐)
WEB服务器启用了OPTIONS方法
【描述】
攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。
【漏洞提示】
目标WEB服务器启用了OPTIONS方法。
【解决方案】
修改配置文件禁用options方法windows 2008-2012:请在wwwroot目录建立web.config,内容如下
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false"/>
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
windows 2003:控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑/others/discuz/httpd.conf 如果您已有其他规则,请添加到第一条规则RewriteEngine onRewriteCond %{THE_REQUEST} ^(OPTIONS)RewriteRule .* - [F]
linux:在wwwroot目录下创建.htaccess文件,内容如下,如果您已有其他规则,请添加到第一条规则RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^(OPTIONS)RewriteRule .* - [F]
IIS版本号可以被识别
【描述】
攻击者可能通过IIS版本号利用对应的已知IIS漏洞——IIS4\IIS5 CGI环境块伪造漏洞、IIS7.0/7.5服务器PHP解析漏洞等来进行针对性攻击,并且可以通过IIS版本号推测出当前使用操作系统的版本从而利用已知的OS漏洞进行更加多样化的攻击。
【漏洞提示】
目标服务器IIS版本号可以被识别。微软IIS服务器版本号可以被识别,可以被攻击者用来收集更多的信息。
【解决方案】
1.在IIS配置文件中进行修改。借助IIS URL Rewrite Module,添加如下的重写规则:
<rewrite>
<allowedServerVariables>
<add name="REMOTE_ADDR" />
</allowedServerVariables>
<outboundRules>
<rule name="REMOVE_RESPONSE_SERVER">
<match serverVariable="RESPONSE_SERVER" pattern=".*" />
<action type="Rewrite" />
</rule>
</outboundRules>
</rewrite>
重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。
X-Frame-Options头未设置
【描述】
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
【漏洞提示】
目标服务器没有返回一个X-Frame-Options头。
【解决方案】
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM
uri:只能被嵌入到指定域名的框架中。也可在代码中加入,在PHP中加入:header('X-Frame-Options: deny');