「我如果能夠遙望彼方,那完全是因為我站在巨人肩膀上的緣故。」
 

07 七月 2015 | 文

關閉網站伺服器直接瀏覽目錄索引功能-Apache and IIS 關閉伺服器目錄索引方法

伺服器網站設定未關閉瀏覽目錄索引。網頁伺服器若於該目錄不存在預設首頁時,將顯示該目錄中所有檔案內容,若該項目內存在重要資料,如Access資料庫(.dbm)或設定檔(config.inc),則使用者即可下載存取該機密內容。
 

造成影響:當開啟目錄索引功能時,則會傳回這目錄中檔案完整清單,若沒有開啟Web Server會回應錯誤訊息,表示存取目錄資源被拒。如過設定上的疏忽,攻擊者送出要求目錄的請求,而這個目錄由預設開啟indexes,那Web Server 會回傳該目錄下的檔案完整清單,則會導致網頁伺服器上的機密資訊的洩漏,雖然攻擊者無法存取所列出的檔案,但透過檔案的名稱,攻擊者還是可以獲得伺服器的相關資訊。


© UCAMC. All rights reserved.
Powered by CITIAR.