本帖最后由 wonenea 于 2012-3-10 03:18 PM 编辑
原创文章转载请注明: 虚拟主机无法关闭自动目录列表功能时的折中方案 | 我的风之谷
用360检查了一下我的网站。
发现了几个问题,其中一个是这样的。
关于这个漏洞:360是这样的解释的。http://webscan.360.cn/vul/view/id/32958488 ────────────────────────────────────────
描述: 目标目录启用了自动目录列表功能。
1.当用户访问的网址是某个目录地址的时候,服务器自动显示该目录所包含的文件列表内容。
2. 当用户请求的URL地址是某个目录地址的时候,如果该目录开启了自动列表功能并且WEB服务器默认的页面文件(如index.html/home.html/default.htm/default.asp/default.aspx/index.php等)也不存在,那么该目录所包含的文件就会被自动的以列表的形式显示出来,这样可能就会导致敏感文件被泄露。
危害: 1.任何人都可以浏览该目录下的所有文件列表。
2. 如果该目录不存在默认的主页面文件,并且该目录包含了敏感的文件内容(如应用程序源码文件或其它的重要文件内容),那么将导致敏感文件内容外泄,从而对企业造成直接的经济损失或为恶意攻击者提供进一步攻击的有效信息。
解决方案: 1、如果必须开启该目录的目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。
2、如非必要,请重新配置WEB服务器,禁止该目录的自动目录列表功能。
────────────────────────────────────────
这个漏洞会列出目录里所有的文件,所以相当有危害性。
我试着用.htccess禁此访问有问题的目录,可以发现有些网站自己也访问不了了。
于是我在每个有问题的目录下都放了一个index文件。这样的话,就不会自动列出文件了。
index文件内容如下:
────────────────────────────────────────────
<BODY>如果你看到这个,说明你走错路了。请回到首页,确定你的路径是否正确。<br>
If you see this page,you go a wrong way.Go back to the homepage,make sure your way is right.</BODY>
──────────────────────────────────────────────
然后再访问有问题的目录,就会避免被列出目录了。
本文固定链接: http://1010527.com/host-show-all-directory-change.html | 我的风之谷 | 
BlueHost
3365 人阅读
|
4 人回复
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
