IIS短檔案名漏洞在windows伺服器上面非常常見,也就是利用“~”字元猜解暴露短檔案/檔案夾名,比如,采用這種方式構造URL:http://aaa.com/abc~1/.aspx,根據IIS傳回的錯誤資訊,猜測該路徑或檔案是否存在,具體可參考這篇文章:http://www.freebuf.com/articles/4908.html。
就單純的解決這個問題來說,微軟的URLScan工具是最适合的一個輕量級工具,關鍵它是免費的,而且安裝、配置非常簡單。安裝過程就不說了,傻瓜式的。 安裝完畢之後,在需要做URL過濾的站點的屬性中,添加一個ISAPI篩選器,dll路徑位于:C:WINDOWSsystem32inetsrvurlscan。該目錄下還有一個配置檔案:UrlScan.ini,微軟的這篇文章裡講的比較詳細了:http://support.microsoft.com/kb/326444/zh-cn。
對于“~”字元的過濾就非常簡單了,在 [DenyUrlSequences] 節中加一個 ~ 就行了。 搞完收工,掃描通過。
PS:
1、IIS7中已經内置了該功能。(IIS-》請求篩選-》URL-》添加拒絕序列-》URL序列設定為【~】)
2、如果URL中用到中文字元,則需要将 AllowHighBitCharacters 設定為1。
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)