关于web站点下敏感文件.DS_Store

最近在使用nikto工具扫描公司的web站点收集漏洞时,发现一个漏洞是发现敏感文件.DS_Store,就去查阅资料看了下,原来在Unix系统中的DS_Store 是用来存储这个文件夹的显示属性的,其中大量的被使用的是Mac OS X系统中,在与Mac OS X系统文件交互的时候就会带上这些文件,而在web服务器中肯定不希望别人看见其中的信息。那么如果你的web服务器上带有.DS_Store文件,那就一定会有信息泄露的可能,这个漏洞可能平时被忽视,但是作为生产服务器上有.DS_Store文件是不允许的,所以如果web服务器上有.DS_Store文件一定要删除,可以通过find命令去寻找web站点下是否有.DS_Store文件而进行删除

find /data/www/ -depth -name ".DS_Store" -exec rm -vf {} \;

这里可以利用crontab对站点文件夹进行定期检查

时间: 2024-10-14 17:07:20

关于web站点下敏感文件.DS_Store的相关文章

XStream互转String和XML,以及如何读取web的下的文件

在项目开发中有时要传输xm文件,要转换成字符串传输,而无法使用对象传输,所以要进行转换,所用进行总结下利用XStream进行string与XML对象之间的互转,以及在转换某一包下所有的类. XML文件的解析和创建,请参考:http://blog.csdn.net/oyyz111/article/details/22730983 首先,利用Spring的PathMatchingResourcePatternResolver进行某包下的class文件的读取,其中用ant的匹配模式,例如congfig

web站点下robots.txt文件的书写与注意事项

Robots协议(爬虫协议)是国际互联网界通行的道德规范,一般是在一个web站点的根目录下写的robots.txt文件,用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取,可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽:可以屏蔽站点的一些死链接.方便搜索引擎抓取网站内容:设置网站地图连接,方便引导蜘蛛爬取页面. 通常的写法格式如下: User-agent: *  #这里的*通配符代表搜索引擎种类,*就是匹配所有的蜘蛛 Allow: / Disallow: #以上2个都表

Web工程下资源文件的读取

servlet中资源文件的读取 方法一:获取资源文件的数据流 ServletContext context = this.getServletContext(); InputStream is = context.getResourceAsStream("/person.properties"); Properties pt = new Properties(); pt.load(is); System.out.println(pt.getProperty("name&quo

NLB多WEB站点访问共享文件解决方案

在公司门户项目正式部署的时候,因BPM站点采用NLB集群部署方式,BPM站点有多个WEB前端服务器.流程都有上传附件功能,起初因没考虑服务器正式环境NLB的部署方式,只是简单的将所有附件保存在BPM WEB站点的Upload文件夹里.部署到正式环境后,发现上传附件是随机上传到某一台WEB前端服务器上. 起初为了解决多台WEB前端服务上的文件同步,只是简单的考虑文件同步工具.同步工具选择了GoogleSYN双向文件同步工具,这个工具非常好用,配置也很简单,解决了我们部署正式环境的问题. 文件同步工

使用openssl给web站点颁发证书

背景介绍 在生产环境中,有时会需要用到自签名的证书,而谷歌浏览器从2016年开始就降低了sha1的算法级别,openssl默认使用的是sha1的算法,以下就来介绍openssl如何使用sha256的加密算法对web站点进行加密.拓扑图如下: 操作步骤 1.安装httpd服务 yum -y install httpd chkconfig httpd on service httpd start 没有域名解析的话,httpd会启动很慢同时提示 解决的方法是修改httpd配置文件vim /etc/ht

apache-tomcat下各个文件夹作用

[转] tomcat下各文件夹的作用 tomcat下有9个目录,分别是bin,common,conf,logs,server,shared,temp,webapps,work 目录,现在对每一目录做介绍.tomcat根目录在tomcat中叫<CATALINA_HOME>,文章中把tomcat解压后在c:/下.1.<CATALINA_HOME>/bin: 存放各种平台下启动和关闭Tomcat的脚本文件.其中有个档是catalina.bat,打开这个windos配置文件,在非注释行加入

监控web站点目录下所有文件是否被恶意篡改

监控web站点目录下所有文件是否被恶意篡改,(文件内容被改了)如果有的就打印改动的文件名 定时任务:每三分钟执行一次监测一次 文件被篡改的特征: 大小可能会变化(为什么说可能呢,如果把里面的值1改为2大小是不会变化的) 修改时间会变化   (文件测试符ot,nt) 文件内容会变化,通过md5sum指纹判断 增加或者删除文件 问题: 代码发布方案:大公司或规范的公司,不会时刻传代码,每天1-2次 脚本不严谨啊,工作中先解决文件,然后在解决好问题 #!/bin/sh num=`cat site.lo

apache环境下web站点禁止用服务器ip访问

在我们的web站点做好后其实可以通过ip来直接访问的,当然这样在我们在做测试的时候是方便,但是一旦在实际的生产服务器中这样允许ip直接访问源站点是一个危险的举动,如果你的生产服务器被人恶意绑定,流量劫持到别的域名,会被广告联盟给封杀.因为你的域名本来就可以通过ip来访问的,如果被人恶意用域名解析到你的ip上,你的网站就能通过别人的域名来访问,时间一长广告联盟发现域名和ip不符合就封杀了,还有这样别人把你的ip绑定到其它恶意域名上一样也是很危险的.所以我们可以用apache的Rewrite和PHP

Windows平台下结合 tortoiseSVN 和 VisualSVN Server 搭建SVN服务器并实现 web 站点同步

1. tortoiseSVN 关于 tortoiseSVN 的安装使用详见博文 TortoiseSVN的安装及其简单使用. 2. VisualSVN Server 关于 VisualSVN Server 的安装使用详见博文 VisualSVN-Server服务器的搭建. 或参考 VisualSVN Server的配置和使用方法(转). 另外需要说明的是,VisualSVN Server 中 tag branch trunk用法,官方并没有给出严格的限制,可参考如下2篇博文: SVN中trunk,