卷云科技
400-006-0063 在线客服 售后客服 返回顶部
新闻动态与技术文章
卷云科技 > 新闻动态 > 网站建设 > 正文

“发现敏感名称目录漏洞”和“Apache可以打开icons目录”解决方案

文章分类文章分类:网站建设 发布时间发布时间:2018-01-05

使用某在线安全软件,检测到网站存在“发现敏感名称目录漏洞”,并提示该漏洞的级别是轻微的。卷云科技安全工程师告诉你:这个所谓的轻微漏洞(发现敏感名称目录漏洞),恶意攻击者会根据该漏洞发现网站的目录结构,一定要重视起来,必须要把这个漏洞修补上。如下图:

发现敏感名称目录漏洞

“发现敏感名称目录漏洞”有什么影响

如上图所示,意思就是说:目标服务器上存在含有敏感名称的目录。如/data、/public/、/admin、/conf、/backup、/db、/icons等目录中可能包含了大量的敏感文件和脚本,如服务器的配置信息、管理脚本等。攻击者可以在这些目录中猜测并获取有价值的数据或脚本,甚至利用其执行脚本。

IIS服务器解决方案

可以设置目录权限,不允许外网访问,操作步骤:打开IIS管理器>选择你要做策略的站点>在IIS中选择 IP地址和域限制>打开后在最右侧的操作栏选择 添加允许条目>设置特定IP地址或IP地址范围>设置完成后点击操作栏的 编辑功能设置>在弹框中选择 未指定的客户端的访问权为拒绝。

Apache服务器解决方案

如使用ThinkPHP框架,或基于TP框架的一些CMS、CMF,一般会在一些敏感目录下,例如/data录下放一个空的index.html文件,当外网用户访问这个文件夹时,会显示空内容。更好的方法是将index.html文件换成index.php,脚本中加入返回404状态码脚本,这样当外网用户访问该目录时,就会提示404错误,对于恶意访问者就会认为这个目录不存在。脚本如下:

<?php

header("HTTP/1.1 404 Not Found");

header('Status:404 Not Found');

exit();

Apache服务器可以打开icons目录解决方案

对于没有进行安全配置的Apache服务器,默认情况可以用xxx.com/icons/的方式打开Apache目录下的icons文件夹,并且会罗列出文件列表,这样很不安全。解决方法是打开httpd.conf配置文件,将以下类似代码注释上:

#  Alias /icons/ "X:/server/Apache/icons/" #此处是Apache服务路径

#  <Directory "X:/server/Apache/icons">

#  Options Indexes MultiViews

#  AllowOverride None

#  Require all granted

#  </Directory>

以上对“发现敏感名称目录漏洞”和“Apache可以访问icons目录”两个需要修补漏洞的解决方案进行了说明,有什么问题可以向卷云科技安全工程师咨询。