修复IIS倾斜漏洞

Question

我们的一个IIS服务器(IIS7.5，Server 2008 R2)显然“易受tilde短文件名披露问题的影响”。

然而，我很难真正解决这个问题。到目前为止，我

• 禁用8.3文件名，停止web服务器，重新创建站点目录并再次启动服务
• 在URL中添加了一个用于倾斜的筛选规则：

• 为任何位置添加了筛选规则：

• 几次IISRESET
• 检查web.config是否添加了相关的筛选规则

。。但是，我仍然无法让我的网站通过测试：

java -jar ~/temp/IIS-ShortName-Scanner-master/IIS_shortname_scanner.jar http://www.example.com

[...SNIP...]

Testing request method: "TRACE" with magic part: "/webresource.axd" ...
Testing request method: "DEBUG" with magic part: "" ...
Testing request method: "OPTIONS" with magic part: "" ...
Testing request method: "GET" with magic part: "" ...
Reliable request method was found = GET
Reliable magic part was found = 
144 requests have been sent to the server:

<<< The target website is vulnerable! >>>

我还需要做些什么来解决这个问题？

编辑:这里是DIR /x，它似乎没有显示8.3文件名：

下面是站点的应用程序池(服务器上的所有其他站点都是相同的)：

EDIT2:验证没有留下8.3文件名：

Answer 1

尝试用fsutil扫描现有的短文件名：

• fsutil 8dot3name scan /s /v E:\inetpub\wwwroot

如果他们被发现的话，就剥去他们的衣服：

• fsutil 8dot3name strip /s /v E:\inetpub\wwwroot

另外，看看带有空魔法部分(magic part: "")的日志，我想知道这是否是POC中的一个bug。config.xml中的这一行看起来好像在/webresource.axd之后有额外的逗号：

<entry> key="magicFinalPartList">
 <![CDATA[\a.aspx,\a.asp,/a.aspx,/a.asp,/a.shtml,/a.asmx‌​,/a.ashx,/a.config,/a.php,/a.jpg,/webresource.axd,,/a.xxx]]>
</entry>

我已经问过戴夫了。他通过推特回复道：

对于不需要扩展的罕见情况。但是，最近这只会造成更多的问题！我现在就把它移走。 我把它从Config文件中删除了.这是第二次投诉，所以现在正是改变的时候。

所以，你现在似乎安全了:)

Answer 2

注意:对NtfsDisable8dot3NameCreation注册表项的更改只影响更改后创建的文件、文件夹和配置文件。已经存在的文件不受影响。

注意:尽管禁用8.3文件名创建会提高Windows下的文件性能，但一些应用程序(16位、32位或64位)可能无法找到具有长文件名的文件和目录。

Answer 3

不幸的是，真正处理这一问题的唯一方法是一组烦人的旋转，这取决于您的windows版本，它禁用了生成8.3个名称的能力。

对于您的Windows版本：

若要禁用所有NTFS分区上的8.3名称创建，请在提升的命令提示符下键入fsutil.exe行为设置disable8dot3 1，然后按Enter。

来源：http://support.microsoft.com/kb/121007