漏洞及修复——Apache/IIS目录遍历

一、Apache目录遍历漏洞的修复

  1、在服务器端,打开Apache配置文件C:\Program Files\phpStudy\Apache\conf\httpd.conf 

  2、在httpd.conf文件中找到   Options +Indexes +FollowSymLinks +ExecCGI  并修改成   Options -Indexes +FollowSymLinks +ExecCGI  并保存;

  

  3、重新启动phpstudy

二、IIS目录遍历漏洞的修复

1、在服务器端,打开 控制面板 -->管理工具--> IIS管理器

2、右击默认网站 --> 属性--> 主目录 -->取消“目录浏览”复选框。

原文地址:https://www.cnblogs.com/hdsec/p/8666631.html

时间: 2024-11-08 12:53:06

漏洞及修复——Apache/IIS目录遍历的相关文章

小白日记37:kali渗透测试之Web渗透-手动漏洞挖掘(三)-目录遍历、文件包含

手动漏洞挖掘 漏洞类型 #Directory traversal 目录遍历[本台机器操作系统上文件进行读取] 使用者可以通过浏览器/URL地址或者参数变量内容,可以读取web根目录[默认为:/var/www/]之外的其他操作系统文件(如:/etc/passwd/).形成根源:目录权限限制不严格 #File include文件包含[1.include本地文件包含LFI:2.远程系统文件包含RFI(可传入木马)] 通常为如include函数,可以将web根目录以外的目录包含进来.根源:include

最新Zip压缩文件漏洞,黑客可以触发目录遍历攻击

近日,国内某安全公司研究人员透露了一个关键漏洞的详细信息,该漏洞影响了许多生态系统中的数千个项目,黑客可以利用这些漏洞在目标系统上实现代码执行. 黑客是如何通过Zip压缩文件入侵攻击?被称为"ZipSlip"的问题是一个任意的文件覆盖漏洞,在从档案文件中提取文件时触发目录遍历攻击,并影响包括tar,jar,war,cpio,apk,rar和7z在内的大量压缩文件. 用Google,Oracle,IBM,Apache,亚马逊,Spring/Pivotal,Linkedin,Twitter

CentOS6.5下Apache防止目录遍历

原先以为CentOS下的Apache应该是默认关闭目录遍历的... 然后拿自己网站试了一下发现想太多...汗 就去改下Apache的配置 首先Apache的配置文件在 /etc/httpd/conf/httpd.conf 找到这一行: 之后把Indexes改为None即可: 保存退出后重启apache,目录访问就成403啦

目录遍历漏洞原理及复现

一.IIS目录遍历漏洞原理及复现 1.原理 “目录遍历”其实并不能算是漏洞,因为它是IIS的一个功能项.在IIS中将该选项勾上,用户就可以通过目录的形式访问网站中的文件,通常这项功能被用于共享文件.但由于管理员的疏忽或经验不足,在网站中开启了这项功能, 这就造成了IIS目录遍历漏洞. 2.复现 打开IIS信息服务管理器,对网站进行进行如下设置: 打开浏览器,在浏览器中访问该站点,可查看到服务器上的站点文件目录: 二.Apache目录遍历漏洞 1.原理 当客户端访问到一个目录时,Apache服务器

什么是目录遍历攻击及如何防护

前几日研究某Web项目源代码,使用的是ThinkPHP框架,根目录下有个www目录,存放项目模块的入口文件.顿时茫然,本人一般直接把入口文件放在web根目录,而这里却是www目录,不知www目录是何作用,遂问老大,老大回:你查查什么是目录遍历攻击.所以才懂得www目录之所以存在的目的... 描述 攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等.一般来说,他们利用服务器API.文件标准权限进行攻击.严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”.如果we

[cyber security][php]pfSense目录遍历漏洞分析

0×00 导言 pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本. 在本文中,我们将向大家介绍在pfSense的2.1.3以及更低版本中的CVE-2014-4690漏洞:对于更高的版本来说,pfSense已经修复了这个漏洞. 0×01 pkg_mgr_install.php脚本中的LFI漏洞 首先,让我们来看一下来自/usr/local/www/pkg_mgr_install.php脚本中的一段代码:  if ($_GET) {   $pkgname = str_re

Windows Server中的IIS漏洞以及修复方法

Windows Server中的IIS漏洞以及修复方法 我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统.世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的. 你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全.通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞. 未处理异常(HTTP 500

nginx目录遍历漏洞复现

一.漏洞描述 Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露. 二.漏洞原理 1. 修改nginx.conf,在如下图位置添加autoindex on 三.漏洞环境搭建和复现 1. 在ubuntu 16.04安装nginx 1.1安装nginx依赖库 1.1.1安装gcc g++的依赖库 ubuntu平台可以使用如下命令: apt-get install build-essential apt-get install libtool 1.1.2安装

nginx 配置不当导致目录遍历下载漏洞

今天做百度杯的时候发现一个题很有意思. 点进题目,发现了一个js重定向到login.php,抓包发现请求的header中cookie=0,做过这种类似的题目,o==false,在请求头里面将cookie=1,结果就进去了后台,(login.php中没有发现什么信息),进入后台, 点开Manage,如上图,网址的构造是module=index$name=php 推测是文件包含,我将index改成flag,说明flag在flag.php中我们所要做的就是提取出flag.php中的内容 思路1 用ph