网安教育
培养网络安全人才
技术交流、学习咨询
列目录漏洞也叫目录遍历漏洞
该漏洞是由于网站存在配置缺陷,目录没有默认首页文件或没有正确设置默认首页文件,会把整个目录结构列出来,将网站结构完全暴露给攻击者;攻击者可能通过浏览目录结构,访问到某些包含敏感信息的文件(如phpinfo、管理后台、数据库连接文件、网站备份文件等);扩大攻击面,使网站更容易被攻破。
一个最简单的例子,就是用Python启动一个轻量级的服务器
1python3 -m http.server 8000
使用浏览器访问http://127.0.0.1:8000/,如果当前目录下没有index.html,就可以获取到目录信息
测试主要通过两种方法
1.3.1. 主动
利用目录扫描工具进行扫描,如dirscan、yuhScan等,观察返回头信息,或者直接代入浏览器访问
测试过程中,手动删除接口部分,保留文件夹;如blog.gm7.org/manager/d4m1ts.html删除最后的d4m1ts.html,访问blog.gm7.org/manager/就可能存在列目录漏洞
1.3.2. 被动
1、利用Google Hacking
1 intitle:"Index of /"
2、利用网络空间搜索引擎
1.4.1. IIS
打开 IIS 管理器,然后导航至您要管理的网站;
在“功能视图”中,双击“目录浏览”;
在“操作”窗格中,选择“目录浏览”功能,单击“禁用”;
重启 IIS 服务
1.4.2. Apache
修改Apache配置文件[httpd.conf],搜索“Options Indexes FollowSymLinks”,修改为“Options -Indexes FollowSymLinks”即可;修改后重启Apache服务。
-Indexes 的作用就是当该目录下没有 index.html 文件时,就显示目录结构,去掉 Indexes,Apache 就不会显示该目录的列表了。
在Indexes前,加 + 代表允许目录浏览;加 – 代表禁止目录浏览。这样的话就属于整个Apache禁止目录浏览了。
通过.htaccess文件
可以在根目录新建或修改 .htaccess 文件中添加如下代码就可以禁止Apache显示目录索引:
1<Files *>
2 Options -Indexes
3 </Files>
1.4.3. Nginx
Nginx中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行,并重启Nginx服务:
1autoindex on;
2autoindex_exact_size on;
1.4.4. Tomcat
在应用的WEB-INF目录找到web.xml配置文件,将“listings”参数的初始化值设置为“false”并重启Tomcat服务即可。代码示例如下:
1 <servlet-name>default</servlet-name>
2 <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
3 <init-param>
4 <param-name>debug</param-name>
5 <param-value>0</param-value>
6 </init-param>
7 <init-param>
8 <param-name>listings</param-name>
9
10 <param-value>false</param-value>
11 </init-param>
12 <load-on-startup>1</load-on-startup>
文:d4m1ts gm7.org
原文链接:https://blog.gm7.org/%E4%B8%AA%E4%BA%BA%E7%9F%A5%E8%AF%86%E5%BA%93/01.%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/02.WEB%E6%BC%8F%E6%B4%9E/14.%E5%88%97%E7%9B%AE%E5%BD%95%E6%BC%8F%E6%B4%9E/#
版权声明:著作权归作者所有。如有侵权请联系删除
战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!
加QQ(1005989737)找小姐姐私聊哦
原文始发于微信公众号(开源聚合网络空间安全研究院):纯干货|Web安全之列目录漏洞实讲
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论