本文目录
[TOC]
1.Apache目录遍历漏洞
描述:如果apache/Httpd 配置文件没有处理好,会给站点带来相当大的隐患,目录遍历漏洞,会将站点的所有目录暴露在访问者眼前,有经验的开发者或hacker们可以从这些目录得知当前站点的信息,如开发语言、服务器系统、站点结构,甚至一些敏感的信息。
建议配置:
- 如果必须开启该目录的目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。
- 如非必要,请重新配置WEB服务器,禁止该目录的自动目录列表功能。
发现目录启用了自动目录列表功能特征:
代码语言:javascript复制#google语法
title:"Index of /"
WeiyiGeek.
安全配置: 附:1. Apache禁止列目录:
- 方法一,修改 httpd.conf配置文件,查找 Options Indexes FollowSymLinks,修改为 Options -Indexes;
- 方法二,在www 目录下的修改.htaccess 配置文件,加入 Options -Indexes。 (推荐)
附:2. Tomcat 禁止列目录:
- 在Tomcat的conf/web.xml文件里把listings值改为false。
PS:修改完httpd.conf后,一定记得重启web服务,才能生效噢!
- service apache restart
