X黑手网
X黑手网
X黑手网

实战:新手小白之-安全测试之目录浏览漏洞攻击

image

目录浏览漏洞

属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。 风险:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者; 攻击者可能通过浏览目录结构,访问到某些隐秘文件(如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等)。

检测条件:

1、 Web业务运行正常
2、 已知目标网站的域名或IP地址

检测方法:

1、 可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含‚index of‛关键词的网站进行访问。

修复方案:

目前存在该漏洞的常见中间件为apache和IIS,一下列出其相关的修复方式:

1、 IIS中关闭目录浏览功能:在IIS的网站属性中,勾去‚目录浏览‛选项,重启IIS。

2、 Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找‚Options Indexes FollowSymLinks‛,修改为‚ Options -Indexes‛(减号表示取消,保存退出,重启Apache。

3、 Nginx中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑
nginx.conf文件,删除如下两行:autoindex on;autoindex_exact_size on;重启Nginx。 

© 版权声明
THE END
喜欢就支持一下吧
点赞11赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容