目录浏览漏洞修复建议

简介:

    目录浏览漏洞主要是由于配置不当,当访问到某一目录中没有索引文件时(或是手工开启了目录浏览功能)即把当前目录中的所有文件及相关下层目录一一在页面中显示出来,通过该漏洞攻击者可获得服务器上的文件目录结构,从而下载敏感文件(数据文件、数据库文件、源代码文件等)。

    对于windows来说,只需要进入IIS管理器,选择对应的网站,然后在功能视图中的IIS项双击【目录浏览】,然后在操作的地方点击【禁用】即可!另外也可以在网站目录下找到web.config文件,将

1
< directoryBrowse  enabled = "true"  />

中的true修改为false!

    对于linux来说,找到相关配置文件,将

1
将Options Indexs FollowSymLinks

中的Indexs 删除,有些也可以在Index的前面添加 - ,推荐是删除!

    另外也可以在每个目录下创建一个空的index.html页面来进行修复,但是推荐上述方法进行解决!




本文转自 eth10 51CTO博客,原文链接:http://blog.51cto.com/eth10/1954343
相关文章
|
SQL 监控 druid
Druid未授权访问 漏洞复现
Druid未授权访问 漏洞复现
21767 1
|
NoSQL 安全 MongoDB
MongoDB 未授权访问漏洞利用
MongoDB 未授权访问漏洞利用
3562 0
|
安全 数据库
Elasticsearch未授权访问漏洞
  Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 0x00 Elasticsearch 安装 前提,保证安装了JDK 1.
15006 1
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
|
Prometheus 监控 安全
SpringBoot Actuator未授权访问漏洞的解决方法
SpringBoot Actuator未授权访问漏洞的解决方法Actuator 是 SpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。
33130 0
|
安全 搜索推荐 应用服务中间件
Web安全-目录遍历漏洞
Web安全-目录遍历漏洞
1209 2
|
缓存 Linux
如何检查 Linux 内存使用量是否耗尽?
何检查 Linux 内存使用量是否耗尽?
1021 58
|
安全 NoSQL 关系型数据库
内网扫描器Fscan
内网扫描器Fscan
|
Linux 开发工具 git
CentOS安装git客户端
【8月更文挑战第22天】在 CentOS 上安装 Git 可通过两种方式:一是利用 yum 包管理器,只需在终端依次执行 `sudo yum update` 和 `sudo yum install git` 命令,安装时按提示输入 y 即可;二是从源码安装,适用于有特殊需求的场景。首先安装必要的依赖库,然后下载并解压 Git 的源码包,最后通过一系列 make 命令完成配置与编译安装。无论哪种方式,安装完毕后均可通过 `git --version` 验证安装情况。
1128 6