關閉網站伺服器直接瀏覽目錄索引功能-Apache and IIS 關閉伺服器目錄索引方法

7 月 7, 2015 | | 0 comments

伺服器網站設定未關閉瀏覽目錄索引。網頁伺服器若於該目錄不存在預設首頁時,將顯示該目錄中所有檔案內容,若該項目內存在重要資料,如Access資料庫(.dbm)或設定檔(config.inc),則使用者即可下載存取該機密內容。
 

造成影響:當開啟目錄索引功能時,則會傳回這目錄中檔案完整清單,若沒有開啟Web Server會回應錯誤訊息,表示存取目錄資源被拒。如過設定上的疏忽,攻擊者送出要求目錄的請求,而這個目錄由預設開啟indexes,那Web Server 會回傳該目錄下的檔案完整清單,則會導致網頁伺服器上的機密資訊的洩漏,雖然攻擊者無法存取所列出的檔案,但透過檔案的名稱,攻擊者還是可以獲得伺服器的相關資訊。

防護方式:關閉網站伺服器直接瀏覽目錄索引選項

修護方式:

IIS伺服器關閉直接瀏覽目錄索引

1.開啟「開始」功能表,點選「控制台」

2.點選「系統管理工具」,開啟「Internet Information Services」

3.開啟IIS視窗,選擇「目錄」,瀏覽目錄功能不要勾選

註:IIS各版本或許有些差異,請在設定時留意

{googleads center}

Apache伺服器關閉直接瀏覽目錄索引

可設定Apache禁止瀏覽目錄下的檔案列表,開啟httpd.conf檔案(路徑為/etc/apache /httpd.conf),然後將列程式碼:

Options Indexes Includes FollowSymLinks

改寫為

Options Includes FollowSymlinks

若要全域實施,將下列程式碼:

Options Indexes Includes FollowSymLins MuLtiViews

改寫為

Options  Includes FollowSymLinks MultiViews

註:不同OS環境,Apache預設安裝目錄可能有所不同,請找到httpd.conf檔,並參考說明關閉目錄索引功能