Um de nossos servidores IIS (IIS 7.5, Server 2008 R2) é aparentemente "vulnerável" ao problema de divulgação de nome de arquivo curto til .
No entanto, estou tendo dificuldade em corrigir o problema. Até agora, eu
Desativou os nomes de arquivo 8.3, parou o servidor web, recriou o diretório do site e iniciou o serviço novamente
Adicionada uma regra de filtro para um til na URL:
- Adicionada uma regra de filtro para um til EM QUALQUER LUGAR:
IISRESETalgumas vezesVerificado
web.configse as regras de filtro relevantes foram adicionadas
.. mas ainda assim, não consigo fazer meu site passar no teste :
java -jar ~/temp/IIS-ShortName-Scanner-master/IIS_shortname_scanner.jar http://www.example.com
[...SNIP...]
Testing request method: "TRACE" with magic part: "/webresource.axd" ...
Testing request method: "DEBUG" with magic part: "" ...
Testing request method: "OPTIONS" with magic part: "" ...
Testing request method: "GET" with magic part: "" ...
Reliable request method was found = GET
Reliable magic part was found =
144 requests have been sent to the server:
<<< The target website is vulnerable! >>>
O que mais preciso fazer para resolver isso?
EDIT: aqui está o DIR /xque parece não mostrar nomes de arquivos 8.3:
e aqui está o pool de aplicativos para o site (todos os outros sites no servidor são os mesmos):
EDIT2 : Verificação de que não há nomes de arquivo 8.3 restantes:
Tente procurar nomes de arquivos curtos existentes com
fsutil:fsutil 8dot3name scan /s /v E:\inetpub\wwwrootE tire-os se forem encontrados:
fsutil 8dot3name strip /s /v E:\inetpub\wwwrootTambém olhando o log com a parte mágica vazia (
magic part: ""), imagino se isso pode ser um bug no POC. Esta linha em config.xml parece ter uma vírgula extra após/webresource.axd:Eu perguntei ao dev. via Twitter sobre isso e ele respondeu:
Então, parece que você está seguro agora :)
também "OBSERVAÇÃO: a alteração na entrada de registro NtfsDisable8dot3NameCreation afeta apenas arquivos, pastas e perfis criados após a alteração. Os arquivos que já existem não são afetados."
Observação: embora a desativação da criação de nome de arquivo 8.3 aumente o desempenho do arquivo no Windows, alguns aplicativos (16 bits, 32 bits ou 64 bits) podem não conseguir localizar arquivos e diretórios com nomes de arquivo longos.
Infelizmente, a única maneira de realmente lidar com isso é um conjunto irritante de giros, dependendo da sua versão do Windows, desativando a capacidade de gerar nomes 8.3.
Para a sua versão do Windows:
Para desabilitar a criação de nome 8.3 em todas as partições NTFS, digite fsutil.exe behavior set disable8dot3 1 em um prompt de comando elevado e pressione Enter.
Fonte: http://support.microsoft.com/kb/121007
Não tenho certeza se o script funciona e como sua rede está configurada, mas que tal filtrar por meio de algo na frente do servidor IIS (mesmo que seja apenas um dispositivo virtual em uma máquina virtual)? Ou seja, você configurou um IPS com uma regra que descarta especificamente o tráfego referente a esse problema específico?
A melhor solução está abaixo, pois não podemos remover após cada nova implantação.
Teste/verifique o site em busca de vulnerabilidade com o link abaixo (instale o java e execute o comando para testar/verificar).
Comando para escanear o site:
Procure por nomes de arquivos curtos existentes:
Verifique se a criação do nome 8dot3 está desabilitada ou habilitada:
Se a criação de nome 8dot3 estiver habilitada, use o comando abaixo para desabilitar:
As propriedades 8dot3name são definidas para habilitar a criação de nome 8dot3 para um volume especificado (0) ou para desabilitar a criação de nome 8dot3 no volume especificado (1)
Mesmo se você reimplantar o código no caminho físico do site (SiteRootDocument), ele não criará arquivos com nomes curtos.
A verificação será aprovada :)