IIS即互聯(lián)網(wǎng)信息服務(wù)，是由微軟公司提供的基于運行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)，但是在實現(xiàn)上存在文件枚舉漏洞，攻擊者利用“~”字符猜解或遍歷服務(wù)器中的文件名，或?qū)IS服務(wù)器中的.NetFramework進行拒絕服務(wù)攻擊。其實它的解決方法并不復(fù)雜。

方法一：修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1,再重啟下機器。(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除)。該修改不能完全修復(fù),只是禁止創(chuàng)建推薦使用后面的修復(fù)建議。

方法二：如果你的web環(huán)境不需要asp.net的支持你可以進入Internet信息服務(wù)(IIS)管理器->Web服務(wù)擴展->ASP.NET選擇禁止此功能。

方法三：升級netframework至4.0以上版本。

另外，要注意WebDAV權(quán)限的正確配置，由于WebDAV是基于HTTP1.1的擴展協(xié)議，可以直接在WEB服務(wù)器上寫入、刪除文件等操作，如果WebDAV配置不當(dāng)，攻擊者就有可以匿名對網(wǎng)站內(nèi)容進行修改、刪除及上傳任意文件等操作，這可能會導(dǎo)致攻擊者完全控制目標(biāo)WEB服務(wù)器。

值得注意的是，網(wǎng)站的備份也相當(dāng)重要，網(wǎng)站數(shù)據(jù)備份分為兩個部分：網(wǎng)站程序備份和數(shù)據(jù)庫備份。網(wǎng)站程序備份即將整個網(wǎng)站的程序以及圖片保存到備份目標(biāo)(你的電腦或者其他備份媒質(zhì))上;數(shù)據(jù)庫備份針對使用access數(shù)據(jù)庫之外的數(shù)據(jù)庫的網(wǎng)站，如mysql、mssql等使用專門的數(shù)據(jù)庫備份工具進行備份，或者直接在服務(wù)器下載相應(yīng)的數(shù)據(jù)庫保存目錄。數(shù)據(jù)是無價的，根據(jù)實際情況選擇合適的備份方式定期對網(wǎng)站進行備份，可以一天一次備份，也可以隔幾天備份一次，養(yǎng)成良好的備份習(xí)慣真的是非常重要，一旦遇到突發(fā)情況，可以在最短的時間內(nèi)以最小的損失來恢復(fù)網(wǎng)站數(shù)據(jù)。

本文由成都網(wǎng)頁設(shè)計-成都網(wǎng)站建設(shè)公司-創(chuàng)新互聯(lián)：www.cdcxhl.com