目录浏览(目录遍历)漏洞

来源:信管网

2019年08月26日 【所有评论】

目录浏览漏洞属于目录遍历漏洞的一种

目录浏览(目录遍历)漏洞

目录浏览漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。

目录浏览漏洞的探测 :可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含 “index of” 关键词的网站进行访问

目录浏览漏洞的危害:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者; 攻击者可能通过浏览目录结构,访问到某些隐秘文件(如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等)。

目录浏览漏洞的预防:

IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS。

Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找“Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消,保存退出,重启Apache)。

Nginx 中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行:autoindex on;autoindex_exact_size on,然后重启Nginx。

————————————————

版权声明:本文为CSDN博主「谢公子」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/qq_36119192/article/details/86496362

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与最新大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

目录遍历漏洞:入侵检测php程序中的目录遍历漏洞,目录浏览(目录遍历)漏洞相关推荐

  1. java内存漏洞_处理Java程序中的内存漏洞

    Java 程序中也有内存漏洞?当然有.与流行的观念相反,在 Java 编程中,内存治理仍然是需要考虑的问题.在本文中,您将了解到什么会导致内存漏洞以及何时应该关注这些漏洞.您还有机会实践一下在您自己的 ...

  2. 了解微信小程序、掌握微信小程序开发工具的使用、了解小程序的目录以及文件结构、掌握小程序中常用的组件、掌握WXML、WXSS、WXS的基本使用

    1 微信小程序介绍以及开发准备 1.1 了解微信小程序 百度百科: 微信小程序,简称小程序,英文名Mini Program,是一种不需要下载安装即可使用的应用,它实现了应用"触手可及&quo ...

  3. 黑客狂野利用零日漏洞:小米三星也中招,安卓手机最易受此漏洞的攻击?

    零日漏洞的另一个启示,这次是在全球使用最广泛的移动操作系统Android中.黑客无处不在,知名网络安全专家,东方联盟创始人郭盛华还发现了Android 0day漏洞的狂野利用,这是臭名昭著的,因为它向 ...

  4. 小米预装的安全应用程序中存在漏洞

    清明三天在外,手机编辑,见谅 本文原文链接: https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-securit ...

  5. linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控

    作者简介:张博,网易高级信息安全工程师. 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快 ...

  6. java入侵检测源码_Java Web中的入侵检测及简单实现

    作者:EasyJF开源团队 大峡 一.简介 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据 ...

  7. hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控

    作者简介:张博,网易高级信息安全工程师. 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快 ...

  8. 浅谈大型互联网的企业入侵检测及防护策略

    来自:美团技术团队 前言 如何知道自己所在的企业是否被入侵了?是没人来"黑",还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战.价值越 ...

  9. Signatures-based、Anomaly-based、Specification-based三种入侵检测方法的简介

    目录 Signatures-based的入侵检测 Anomaly-based的入侵检测 Specification-based的入侵检测 Signatures-based也称为误用检测或基于知识的检测 ...

最新文章

  1. 【2020】清华大学《高级机器学习》课件和专家特邀报告(附pdf下载)
  2. 一个转角---程序猿
  3. Hacker News与Reddit的算法比较
  4. accsess转成mysql语句_轻松教你SQL转ACCESS
  5. 肖仰华 | 知识图谱与认知智能
  6. java 大型互联网架构_分享一些大型互联网架构常用的高端技术
  7. 8、周期性任务、find、break和continue 学习笔记
  8. 计算机常用技巧及快捷键
  9. Sun java认证考试真题答案及部分解析(一)
  10. 公众号H5运营如何激发用户的打开H5商城欲望?
  11. k3刷机 重置_什么是联想 K3刷机前的双清
  12. 程序员修炼之道(通俗版)——第八章
  13. 大前端技术发展趋势刨析
  14. iOS14:AirPods Auto Switching
  15. JAVA Signal Handing
  16. MacBook常用快捷键总结
  17. 1005:地球人口承载力估计(c++)
  18. Tables[0].Rows.count是什么意思
  19. 【Vue工程】001-Vite 创建 Vue-TypeScript 项目
  20. 王者荣耀——bat批处理文件,自动刷金币版(脱胎于30行Python代码刷金币版),Windows双击即可运行!

热门文章

  1. Table表格的单元格提示
  2. MySQL带BETWEEN AND关键字的查询
  3. 计算机组成原理sop,MacBERT:MLM as correction BERT
  4. linux看进程所在,linux 查看进程所在目录
  5. 【Java自顶向下】ConcurrentHashMap面试题(2021最新版)
  6. 蓝桥杯第六届决赛真题大全解(java版本)
  7. java定时器无法自动注入的问题解析(原来Spring定时器可以这样注入service)
  8. hibernate教程--关联关系的映射详解
  9. Android基于回调的事件处理
  10. wpf 加载资源html,从资源文件加载WPF样式