【实用手册】目录索引漏洞
2023-4-29 00:4:30 Author: 利刃信安攻防实验室(查看原文) 阅读量:9 收藏

漏洞名称:

目录索引漏洞

漏洞级别:

中危

漏洞描述:

自动目录索引是Web服务器的一个功能,当访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。

漏洞成因:

自动目录索引是Web服务器的一个功能,当中间件配置错误情况下,访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。

漏洞危害:

自动目录索引是Web服务器的一个功能,当中间件配置错误情况下,访问一个目录而该目录下没有默认文件时,Web服务器会返回该目录下的所有文件列表。如果目录中包含敏感文件,攻击者可以通过该漏洞获取敏感信息。攻击者可以通过返回的目录索引信息获得当前目录下的文件列表,从而根据文件中可能存在的漏洞攻击服务器。

修复建议:

Apache

修改站点目录对应的配置文件 httpd.conf

<Directory />  Options FollowSymLinks  Indexes Off  AllowOverride All  Order allow,deny  Allow from all  Require all granted</Directory>

使用 htaccess文件 in foldername 目录下

Options FollowSymLinksIndexes Off

大家都见过很多框架的每个目录都有一个 index.html 文件,这个文件的存在是非常有意义的,很多线上的Web服务器都没有合格配置列出目录索引,导致网站内部许多文件都能被攻击者查看,从而泄漏大量信息。

为了防止列出目录索引,我们可以在站点的每个文件夹中创建一个 index.html,这个文件内容是什么都无所谓。当攻击者想通过列目录的手法访问你站点文件夹的时候,Web服务器将会判断当前目录下有没有DirectoryIndex默认首页,如果存在就显示DirectoryIndex对应的文件名的内容,这样攻击者就无法查看该目录下有什么文件。

Tomcat

修改 conf/web.xml 配置文件

<init-param>  <param-name>listings</param-name>   <param-value>false</param-value></init-param>

Nginx

修改 conf/nginx.conf 配置文件

location / {  index  index.html index.htm index.php l.php;  autoindex off;  }

IIS

设置“目录浏览”权限。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDY1OA==&mid=2247503468&idx=2&sn=e42214e78dd47f3108aa6e281b2dbe31&chksm=fbfb7ea1cc8cf7b75e7bb67c2779a5401681999e432965c0bc3e63ca67fe07b5bd3b04e0af2f#rd
如有侵权请联系:admin#unsafe.sh