“發(fā)現(xiàn)敏感名稱目錄漏洞”和“Apache可以打開(kāi)icons目錄”解決方案

使用某在線安全軟件，檢測(cè)到網(wǎng)站存在“發(fā)現(xiàn)敏感名稱目錄漏洞”，并提示該漏洞的級(jí)別是輕微的。卷云科技安全工程師告訴你：這個(gè)所謂的輕微漏洞（發(fā)現(xiàn)敏感名稱目錄漏洞），惡意攻擊者會(huì)根據(jù)該漏洞發(fā)現(xiàn)網(wǎng)站的目錄結(jié)構(gòu)，一定要重視起來(lái)，必須要把這個(gè)漏洞修補(bǔ)上。如下圖：

“發(fā)現(xiàn)敏感名稱目錄漏洞”有什么影響

如上圖所示，意思就是說(shuō)：目標(biāo)服務(wù)器上存在含有敏感名稱的目錄。如/data、/public/、/admin、/conf、/backup、/db、/icons等目錄中可能包含了大量的敏感文件和腳本，如服務(wù)器的配置信息、管理腳本等。攻擊者可以在這些目錄中猜測(cè)并獲取有價(jià)值的數(shù)據(jù)或腳本，甚至利用其執(zhí)行腳本。

IIS服務(wù)器解決方案

可以設(shè)置目錄權(quán)限，不允許外網(wǎng)訪問(wèn)，操作步驟：打開(kāi)IIS管理器>選擇你要做策略的站點(diǎn)>在IIS中選擇 IP地址和域限制>打開(kāi)后在最右側(cè)的操作欄選擇 添加允許條目>設(shè)置特定IP地址或IP地址范圍>設(shè)置完成后點(diǎn)擊操作欄的 編輯功能設(shè)置>在彈框中選擇 未指定的客戶端的訪問(wèn)權(quán)為拒絕。

Apache服務(wù)器解決方案

如使用ThinkPHP框架，或基于TP框架的一些CMS、CMF，一般會(huì)在一些敏感目錄下，例如/data錄下放一個(gè)空的index.html文件，當(dāng)外網(wǎng)用戶訪問(wèn)這個(gè)文件夾時(shí)，會(huì)顯示空內(nèi)容。更好的方法是將index.html文件換成index.php，腳本中加入返回404狀態(tài)碼腳本，這樣當(dāng)外網(wǎng)用戶訪問(wèn)該目錄時(shí)，就會(huì)提示404錯(cuò)誤，對(duì)于惡意訪問(wèn)者就會(huì)認(rèn)為這個(gè)目錄不存在。腳本如下：

<?php

header("HTTP/1.1 404 Not Found");

header('Status:404 Not Found');

exit();

Apache服務(wù)器可以打開(kāi)icons目錄解決方案

對(duì)于沒(méi)有進(jìn)行安全配置的Apache服務(wù)器，默認(rèn)情況可以用xxx.com/icons/的方式打開(kāi)Apache目錄下的icons文件夾，并且會(huì)羅列出文件列表，這樣很不安全。解決方法是打開(kāi)httpd.conf配置文件，將以下類似代碼注釋上：

#  Alias /icons/ "X:/server/Apache/icons/" #此處是Apache服務(wù)路徑

#  <Directory "X:/server/Apache/icons">

#  Options Indexes MultiViews

#  AllowOverride None

#  Require all granted

#  </Directory>

以上對(duì)“發(fā)現(xiàn)敏感名稱目錄漏洞”和“Apache可以訪問(wèn)icons目錄”兩個(gè)需要修補(bǔ)漏洞的解決方案進(jìn)行了說(shuō)明，有什么問(wèn)題可以向卷云科技安全工程師咨詢。