超级会员免费看
本文介绍了目录浏览漏洞的概念,该漏洞因网站配置缺陷导致隐私文件暴露,增加被攻击风险。攻击者可利用此漏洞获取敏感信息如PHPINFO文件、后台地址等。检测方法包括使用web漏洞扫描器或搜索特定关键词。修复方案涵盖Apache、IIS和Nginx服务器的配置调整。
1、漏洞描述
目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。
风险:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者。
攻击者可能通过浏览目录结构,访问到某些隐秘文件,如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等。
2、检测方法
可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索网站标题包含“index of”关键词的网站进行访问。
3、修复方案
目前存在该漏洞的常见中间件为apache和IIS,一下列出其相关的修复方式:
1、IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS。
2、Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找“Options Indexes FollowSymLinks”,修改为“Options -Indexes”,减号表示取消,保存退出,重启Apache。
3、Nginx中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行,重启Nginx。
autoindex on;
autoindex_exact_size on;
扫一扫
1906
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
