這個風險是透過測試IIS主機的短名稱或網址是否存在,像是攻擊者可以透過get指令下類似 https://www.example.com/*~1*/.aspx 這樣的要求,來猜測該網站上的網頁資料夾或是檔案名稱,進一步取得沒有公開曝露的檔案或程式,可能會造成敏感資料的洩漏問題。
解決的方法就是修改機碼 HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation,值改為 1, 修改完機碼後記得要重開機。
很多人在重開機之後,仍然再次出現404 ERROR(File Not Found ) 這樣就是沒效,請記得要把整個網站刪除,再重新發佈,就可以了。
----
另一個作法,可以直接在.NET Core的Program.cs中進行設定,透過程式的方式來設定。
app.UseFileServer(new FileServerOptions() {
EnableDirectoryBrowsing = false
});
文章標籤
全站熱搜
留言列表
