漏洞名称:
目录索引漏洞漏洞级别:
中危漏洞描述:
自动目录索引是Web服务器的一个功能,当访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。漏洞成因:
自动目录索引是Web服务器的一个功能,当中间件配置错误情况下,访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。漏洞危害:
自动目录索引是Web服务器的一个功能,当中间件配置错误情况下,访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。攻击者可以通过返回的目录索引信息获得当前目录下的文件列表,从而根据文件中可能存在的漏洞攻击服务器。修复建议:
Apache
修改站点目录对应的配置文件 httpd.conf
<Directory />Options FollowSymLinksIndexes OffAllowOverride AllOrder allow,denyAllow from allRequire all granted</Directory>
使用 htaccess文件 in foldername 目录下
Options FollowSymLinksIndexes Off
大家都见过很多框架的每个目录都有一个 index.html 文件,这个文件的存在是非常有意义的,很多线上的Web服务器都没有合格配置列出目录索引,导致网站内部许多文件都能被攻击者查看,从而泄漏大量信息。
为了防止列出目录索引,我们可以在站点的每个文件夹中创建一个 index.html,这个文件内容是什么都无所谓。当攻击者想通过列目录的手法访问你站点文件夹的时候,Web服务器将会判断当前目录下有没有DirectoryIndex默认首页,如果存在就显示DirectoryIndex对应的文件名的内容,这样攻击者就无法查看该目录下有什么文件。
Tomcat
修改 conf/web.xml 配置文件
<init-param><param-name>listings</param-name><param-value>false</param-value></init-param>
Nginx
修改 conf/nginx.conf 配置文件
location / {index index.html index.htm index.php l.php;autoindex off;}
IIS
设置“目录浏览”权限。
原文始发于微信公众号(利刃信安攻防实验室):【实用手册】目录索引漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论