使用某在线安全软件,检测到网站存在“发现敏感名称目录漏洞”,并提示该漏洞的级别是轻微的。猫先生中心科技安全工程师告诉你:这个所谓的轻微漏洞(发现敏感名称目录漏洞),恶意攻击者会根据该漏洞发现网站的目录结构,一定要重视起来,必须要把这个漏洞修补上。如下图:
“发现敏感名称目录漏洞”有什么影响
如上图所示,意思就是说:目标服务器上存在含有敏感名称的目录。如/data、/public/、/admin、/conf、/backup、/db、/icons等目录中可能包含了大量的敏感文件和脚本,如服务器的配置信息、管理脚本等。攻击者可以在这些目录中猜测并获取有价值的数据或脚本,甚至利用其执行脚本。
IIS服务器解决方案
可以设置目录权限,不允许外网访问,操作步骤:打开IIS管理器>选择你要做策略的站点>在IIS中选择 IP地址和域限制>打开后在最右侧的操作栏选择 添加允许条目>设置特定IP地址或IP地址范围>设置完成后点击操作栏的 编辑功能设置>在弹框中选择 未指定的客户端的访问权为拒绝。
Apache服务器解决方案
如使用ThinkPHP框架,或基于TP框架的一些CMS、CMF,一般会在一些敏感目录下,例如/data录下放一个空的index.html文件,当外网用户访问这个文件夹时,会显示空内容。更好的方法是将index.html文件换成index.php,脚本中加入返回404状态码脚本,这样当外网用户访问该目录时,就会提示404错误,对于恶意访问者就会认为这个目录不存在。脚本如下:
<?php
header("HTTP/1.1 404 Not Found");
header('Status:404 Not Found');
exit();
Apache服务器可以打开icons目录解决方案
对于没有进行安全配置的Apache服务器,默认情况可以用xxx.com/icons/的方式打开Apache目录下的icons文件夹,并且会罗列出文件列表,这样很不安全。解决方法是打开httpd.conf配置文件,将以下类似代码注释上:
# Alias /icons/ "X:/server/Apache/icons/" #此处是Apache服务路径
# <Directory "X:/server/Apache/icons">
# Options Indexes MultiViews
# AllowOverride None
# Require all granted
# </Directory>
以上对“发现敏感名称目录漏洞”和“Apache可以访问icons目录”两个需要修补漏洞的解决方案进行了说明,有什么问题可以向猫先生中心科技安全工程师咨询。