“發(fā)現(xiàn)敏感名稱目錄漏洞”和“Apache可以打開icons目錄”解決方案

使用某在線安全軟件，檢測到網(wǎng)站存在“發(fā)現(xiàn)敏感名稱目錄漏洞”，并提示該漏洞的級別是輕微的。卷云科技安全工程師告訴你：這個所謂的輕微漏洞（發(fā)現(xiàn)敏感名稱目錄漏洞），惡意攻擊者會根據(jù)該漏洞發(fā)現(xiàn)網(wǎng)站的目錄結(jié)構(gòu)，一定要重視起來，必須要把這個漏洞修補上。如下圖：

“發(fā)現(xiàn)敏感名稱目錄漏洞”有什么影響

如上圖所示，意思就是說：目標服務器上存在含有敏感名稱的目錄。如/data、/public/、/admin、/conf、/backup、/db、/icons等目錄中可能包含了大量的敏感文件和腳本，如服務器的配置信息、管理腳本等。攻擊者可以在這些目錄中猜測并獲取有價值的數(shù)據(jù)或腳本，甚至利用其執(zhí)行腳本。

IIS服務器解決方案

可以設置目錄權(quán)限，不允許外網(wǎng)訪問，操作步驟：打開IIS管理器>選擇你要做策略的站點>在IIS中選擇 IP地址和域限制>打開后在最右側(cè)的操作欄選擇 添加允許條目>設置特定IP地址或IP地址范圍>設置完成后點擊操作欄的 編輯功能設置>在彈框中選擇 未指定的客戶端的訪問權(quán)為拒絕。

Apache服務器解決方案

如使用ThinkPHP框架，或基于TP框架的一些CMS、CMF，一般會在一些敏感目錄下，例如/data錄下放一個空的index.html文件，當外網(wǎng)用戶訪問這個文件夾時，會顯示空內(nèi)容。更好的方法是將index.html文件換成index.php，腳本中加入返回404狀態(tài)碼腳本，這樣當外網(wǎng)用戶訪問該目錄時，就會提示404錯誤，對于惡意訪問者就會認為這個目錄不存在。腳本如下：

<?php

header("HTTP/1.1 404 Not Found");

header('Status:404 Not Found');

exit();

Apache服務器可以打開icons目錄解決方案

對于沒有進行安全配置的Apache服務器，默認情況可以用xxx.com/icons/的方式打開Apache目錄下的icons文件夾，并且會羅列出文件列表，這樣很不安全。解決方法是打開httpd.conf配置文件，將以下類似代碼注釋上：

#  Alias /icons/ "X:/server/Apache/icons/" #此處是Apache服務路徑

#  <Directory "X:/server/Apache/icons">

#  Options Indexes MultiViews

#  AllowOverride None

#  Require all granted

#  </Directory>

以上對“發(fā)現(xiàn)敏感名稱目錄漏洞”和“Apache可以訪問icons目錄”兩個需要修補漏洞的解決方案進行了說明，有什么問題可以向卷云科技安全工程師咨詢。