修復 IIS 波浪號漏洞

我們的一台 IIS 伺服器（IIS 7.5、Server 2008 R2）顯然“容易受到”波浪號短文件名洩露問題的影響。

但是，我很難真正解決這個問題。到目前為止，我已經

• 禁用 8.3 文件名，停止 Web 伺服器，重新創建站點目錄並再次啟動服務
• 為 URL 中的波浪號添加了過濾規則：

• 為波浪號 ANYWHERE 添加了過濾規則：

• IISRESET一些時間
• 檢查web.config是否添加了相關的過濾規則

.. 但是，我仍然無法讓我的網站通過測試：

java -jar ~/temp/IIS-ShortName-Scanner-master/IIS_shortname_scanner.jar http://www.example.com

[...SNIP...]

Testing request method: "TRACE" with magic part: "/webresource.axd" ...
Testing request method: "DEBUG" with magic part: "" ...
Testing request method: "OPTIONS" with magic part: "" ...
Testing request method: "GET" with magic part: "" ...
Reliable request method was found = GET
Reliable magic part was found = 
144 requests have been sent to the server:

<<< The target website is vulnerable! >>>

我還需要做什麼來解決這個問題？

**編輯：**這裡DIR /x似乎沒有顯示 8.3 文件名：

這是該站點的應用程序池（伺服器上的所有其他站點都相同）：

EDIT2：驗證沒有剩下 8.3 個文件名：

嘗試使用以下命令掃描現有的短文件名fsutil：

• fsutil 8dot3name scan /s /v E:\inetpub\wwwroot

如果發現它們，請剝離它們：

• fsutil 8dot3name strip /s /v E:\inetpub\wwwroot

還查看帶有空魔法部分（magic part: ""）的日誌，我想知道這可能是 POC 中的錯誤。config.xml中的這一行在 之後看起來像是有額外的逗號/webresource.axd：

<entry> key="magicFinalPartList">
<![CDATA[\a.aspx,\a.asp,/a.aspx,/a.asp,/a.shtml,/a.asmx‌​,/a.ashx,/a.config,/a.php,/a.jpg,/webresource.axd,,/a.xxx]]>
</entry>

我問過開發者。通過 Twitter 關於它，他回答說：

對於不需要擴展的極少數情況。但是，最近這只引起了更多的問題！我現在將其刪除。

我從配置文件中刪除了它。這是第二次投訴，所以現在是進行此更改的正確時機。

所以，看來你現在很安全：）

引用自：https://serverfault.com/questions/670658