目录浏览漏洞修复建议

Posted 2020-10-01

    目录浏览漏洞主要是由于配置不当，当访问到某一目录中没有索引文件时（或是手工开启了目录浏览功能）即把当前目录中的所有文件及相关下层目录一一在页面中显示出来，通过该漏洞攻击者可获得服务器上的文件目录结构，从而下载敏感文件（数据文件、数据库文件、源代码文件等）。

    对于windows来说，只需要进入IIS管理器，选择对应的网站，然后在功能视图中的IIS项双击【目录浏览】，然后在操作的地方点击【禁用】即可！另外也可以在网站目录下找到web.config文件，将

<directoryBrowse enabled="true" />

中的true修改为false！

    对于linux来说，找到相关配置文件，将

将Options Indexs FollowSymLinks

中的Indexs 删除，有些也可以在Index的前面添加 - ，推荐是删除！

    另外也可以在每个目录下创建一个空的index.html页面来进行修复，但是推荐上述方法进行解决！

本文出自 “eth10” 博客，请务必保留此出处http://eth10.blog.51cto.com/13143704/1954343