目錄瀏覽漏洞修復建議
目錄瀏覽漏洞主要是由於配置不當,當訪問到某一目錄中沒有索引文件時(或是手工開啟了目錄瀏覽功能)即把當前目錄中的所有文件及相關下層目錄一一在頁面中顯示出來,通過該漏洞攻擊者可獲得服務器上的文件目錄結構,從而下載敏感文件(數據文件、數據庫文件、源代碼文件等)。
對於windows來說,只需要進入IIS管理器,選擇對應的網站,然後在功能視圖中的IIS項雙擊【目錄瀏覽】,然後在操作的地方點擊【禁用】即可!另外也可以在網站目錄下找到web.config文件,將
<directoryBrowse enabled="true" />
中的true修改為false!
對於linux來說,找到相關配置文件,將
將Options Indexs FollowSymLinks
中的Indexs 刪除,有些也可以在Index的前面添加 - ,推薦是刪除!
另外也可以在每個目錄下創建一個空的index.html頁面來進行修復,但是推薦上述方法進行解決!
本文出自 “eth10” 博客,請務必保留此出處http://eth10.blog.51cto.com/13143704/1954343
目錄瀏覽漏洞修復建議
相關推薦
目錄瀏覽漏洞修復建議
目錄瀏覽漏洞 修復建議 目錄瀏覽漏洞主要是由於配置不當,當訪問到某一目錄中沒有索引文件時(或是手工開啟了目錄瀏覽功能)即把當前目錄中的所有文件及相關下層目錄一一在頁面中顯示出來,通過該漏洞攻擊者可獲得服務器上的文件目錄結構,從而下載敏感文件(數據文件、數據庫文件、源代碼文件等)。 對於w
定心丸!ZipperDown漏洞分析與修復建議
ZipperDown 漏洞 近日,盤古實驗室對外披露了ZipperDown漏洞,該漏洞是盤古團隊針對不同客戶的iOS應用安全審計的過程中發現的,大約有10%的iOS應用會受到此漏洞的影響。 利用此漏洞可以做很多事情,例如實現目錄遍歷攻擊和App Container目錄中任意文件覆蓋風險……影響究竟有多
網站安全檢測 漏洞檢測 對thinkphp通殺漏洞利用與修復建議
thinkphp在國內來說,很多站長以及平臺都在使用這套開源的系統來建站,為什麼會這麼深受大家的喜歡,第一開源,便捷,高效,生成靜態化html,第二框架性的易於開發php架構,很多第三方的外掛以及第三方的開發公司較多,模板可以自定義設計,在thinkphp的基礎上可以開發很多
常規web滲透測試漏洞描述及修復建議
Apache樣例檔案洩漏 測試方法 在連結的根目錄中新增examples或者docs目錄進行訪問判斷! 漏洞描述 apache一些樣例檔案沒有刪除,可能存在cookie、session偽造,進行後臺登入操作 修復建議 1、刪除樣例檔案 2
dedecms5.7最新漏洞修復
嚴重 pac 找到 fig got sql 分享 工具 ecms 最近發現織夢cms被掛馬現象頻繁,解決好好幾個網站的問題,但是過不了多久,就又被攻擊了,即使更改系統及ftp密碼,也沒有起到防禦的作用,最後懷疑cms本身漏洞,於是采用工具掃描了一下,才發現問題的嚴重性,在這
【滲透測試】NSA Windows 0day漏洞+修復方案
技術 數據 pos 創建 前段時間 更新 服務 主機 ima 這個漏洞是前段時間爆出來的,幾乎影響了全球70%的電腦,不少高校、政府和企業都還在用Windows服務器,這次時間的影響力堪稱網絡大地震。 ------------------------------------
.net網站部署winserver2008R2 iis瀏覽只顯示目錄瀏覽
2008r2 -i 重新 場景 nbsp 4.5 microsoft gii dos 問題場景:asp.netMVC4, 網站部署winserver2008R2 iis瀏覽只顯示目錄瀏覽,安裝formarwork 4.5框架 解決問題:重新註冊4.0框架:DOS命令執行--
Windows2008 r2“Web服務器HTTP頭信息泄露”漏洞修復
web服務器http頭信息泄露一、漏洞名稱漏洞名稱漏洞摘要修復建議Web服務器HTTP頭信息泄露遠程Web服務器通過HTTP頭公開信息。修改Web服務器的HTTP頭以不公開有關底層Web服務器的詳細信息。二、安裝IIS 6 管理兼容性右擊【角色】【Web服務器(IIS)】,點擊【添加角色服務】,勾選“IIS
打開關閉tomcat的目錄瀏覽功能
role listing 用戶 現在 sting 點擊 con pre 鏈接 目錄瀏覽功能 conf/web.xml中init-param中有對於listing的定義,設置為true即可實現tomcat的目錄瀏覽; tomcat的管理用戶設置 conf/tomcat-use
IIS短文件名漏洞修復
nbsp nal hub 簡單 禁止 itl 不能 直接 網絡服務器 漏洞描述:IIS短文件名泄露漏洞,Microsoft IIS在實現上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網絡服務器根目錄中的文件。危害:攻擊者可以利用“~”字符猜解或遍歷服務器中的文件名,或對IIS服
linux中redis的安裝配置,後門漏洞修復及其攻擊方法整合
conf eid member 策略 ron 分享 正數 二進制 我想 Linux上redis安裝: 需先在服務器上安裝yum(虛擬機可使用掛載的方式安裝) 安裝配置所需要的環境運行指令: yum -y install gcc 進入解壓文件執行make 指令進行編譯 執
記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL註入、跨站腳本攻擊XSS)
cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬
建立標準編碼規則(三)-CodeFixProvider 給代碼分析器增加修復建議
.cn access 容易 編寫 color tco 效果 -s 我們 給代碼分析器增加修復建議 既然代碼分析器,向代碼編寫者提出了錯誤或警告,那麽有沒有可能向代碼編寫者提交有效的改進建議? 相對於 DiagnosticAnalyzer,代碼修復繼承與 CodeFixPro
XAMPP禁止目錄瀏覽的方法
net lam itl 完成後 新版本 htm rep 比較 pac XAMPP是目前比較流行Web服務器套件,集成了Apache、MySQL、PHP、PERL、FTP等各種軟件包。但是細心的人可以發現,XAMPP安裝完成後,默認是可以目錄瀏覽的,這有些不安全。如果需要禁止
IIS Express 啟用目錄瀏覽 方法
vs2013 localhost 方法 部分 cat 創建 服務器 asp 四種方法 標簽: iis / visual studio / C# / ASP.NET / .NET 522 今天剛剛使用visual studio 2013創建第一個hello w
記一次struts2漏洞修復帶來的問題
pub size desc zed 依賴包 響應 ext substring lte struts2作為萬年漏洞王,感覺已經被棄如敝屣了,除了一些古老的項目,比如我手上的一個項目,以前每次出現漏洞就如臨大敵,手忙腳亂的趕在公司紅頭文件發出來前修復它。然後改了一兩次後毅然決然
【ASP.NET Core】淺說目錄瀏覽
復雜 原因 sting cati 註意 動態 返回 files rop 何謂“淺說”?就是一句話說不完,頂多兩句話就介紹完畢,然後直接給上實例的解說方式。化繁為簡,從七千年前到現在,從老祖宗到咱們,一直都在追求的理想目標,盡可能把復雜的東西變成簡單的
網站漏洞修復方案防止SQL註入×××漏洞
單引號 註入漏洞 很多 api 影響 數值 簡單 HP 存在 SQL註入漏洞在網站漏洞裏面屬於高危漏洞,排列在前三,受影響範圍較廣,像asp、.net、PHP、java、等程序語言編寫的代碼,都存在著sql註入漏洞,那麽如何檢測網站存在sql註入漏洞? SQL註入漏洞測試方
mDNS協議漏洞修復
ini 本地 其他 ria -a padding 機器 auto initial 問題描述: 安全掃描時,發現DNS服務器上有5353端口mDNS的服務漏洞,但是系統上找不到這個服務,無法關閉端口。 mDNS介紹: 5353端口是mDNS服務,通常是幫助程序在不需要進行手動
monstra 3.0.4 目錄瀏覽
sts 9.1 macintosh man agen 5.0 agent manager XML monstra 3.0.4 目錄瀏覽 visit:http://172.16.173.238/monstra-3.0.4/admin/index.php?id=filesma