问题原因
win为了兼容dos系统默认启用了长文件名称缩写为短文件名称的功能
解决方法
关闭设置。这里有两种解决办法:
1.如果是云服务器或硬件设备
fsutil behavior set disable8dot3 1
2.如果是虚拟主机
修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除);
同时升级net framework 至4.0以上版本。
将原网站配置一份,然后删除,再恢复即可
备注:如果是阿里云虚拟主机,不需要第一步修改注册表,因为阿里已经帮我们配置好了。
备注:
(3)短文件名特征
短文件名的长度固定(xxxxxx~xxxx),因此黑客可直接对短文件名进行暴力破解,从而访问对应的文件。
举个例子,有一个数据库备份文件 backup_www.abc.com_20190101.sql,它对应的短文件名是 backup~1.sql 。因此黑客只要暴力破解出 backup~1.sql 即可下载该文件,而无需破解完整的文件名。
短文件名有以下特征:
1) 只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
2) 后缀名最长只有3位,多余的被截断。
3) 访问构造的某个存在的短文件名,会返回404
4) 访问构造的某个不存在的短文件名,会返回400
2、漏洞介绍
漏洞影响版本:IIS 5.0-10.0全系列版本
标签:文件,iis,虚拟主机,文件名,---,漏洞,sql,backup From: https://www.cnblogs.com/GKLBB/p/17728624.html