Web伺服器列目錄漏洞之啟用了自動目錄列表功能

Web伺服器列目錄漏洞，目錄啟用了自動目錄列表功能。

當用戶請求的URL地址是站點的某個目錄地址時，如果該目錄開啟了自動列表功能並且WEB伺服器沒有默認的頁面文件(如index.html、home.html、index.php等)，那麼該目錄所包含的文件內容就會被自動以列表的形式顯示出來，這樣可能就會導致敏感文件被泄露。

如果比如：

該漏洞的危害就是任何人都可以瀏覽到該目錄下的而所有文件列表。

對應的解決方案是配置Web伺服器，禁止目錄列表功能。

Apache伺服器可以採取以下兩種方法：

1、修改 httpd.conf配置文件：查找 Options Indexes FollowSymLinks，修改為 Options -Indexes；需要重啟Web服務哦！

2、修改站點目錄下的.htaccess配置文件，添加配置信息：Options -Indexes，保存即可，不用重啟Web服務。不過只能針對一個站點，如果有多個站點就需要在每個站點目錄下的.htaccess文件中添加。

Tomcat伺服器可以在tomcat的conf/web.xml配置文件中，修改listings的值，改為false。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！