目录浏览漏洞修复建议

目录浏览漏洞主要是由于配置不当，当访问到某一目录中没有索引文件时（或是手工开启了目录浏览功能）即把当前目录中的所有文件及相关下层目录一一在页面中显示出来，通过该漏洞攻击者可获得服务器上的文件目录结构，从而下载敏感文件（数据文件、数据库文件、源代码文件等）。

对于windows来说，只需要进入IIS管理器，选择对应的网站，然后在功能视图中的IIS项双击【目录浏览】，然后在操作的地方点击【禁用】即可！另外也可以在网站目录下找到web.config文件，将

<directoryBrowse enabled="true" />

中的true修改为false！

对于linux来说，找到相关配置文件，将

将Options Indexs FollowSymLinks

中的Indexs 删除，有些也可以在Index的前面添加 - ，推荐是删除！

另外也可以在每个目录下创建一个空的index.html页面来进行修复，但是推荐上述方法进行解决！

时间： 2024-10-20 01:22:39

目录浏览漏洞修复建议的相关文章

dedecms5.7最新漏洞修复

最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重性,在这里发一下解决办法,也希望采用织梦cms的童鞋,尽快升级补丁. 1.修复:[高危]DedeCMS最新SQL注入漏洞修复方法:1)下载补丁:http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130607.zip 2

网站漏洞修复整体网站安全检测方案

在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏洞,远程包含文件漏洞. 有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的

Web常见漏洞及修复建议

1.SQL注入漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据.下载数据.写入webshell.执行系统命令以及绕过登录限制等. 修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量. (1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中.所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入

定心丸！ZipperDown漏洞分析与修复建议

近日,盘古实验室对外披露了ZipperDown漏洞,该漏洞是盘古团队针对不同客户的iOS应用安全审计的过程中发现的,大约有10%的iOS应用会受到此漏洞的影响. 利用此漏洞可以做很多事情,例如实现目录遍历攻击和App Container目录中任意文件覆盖风险--影响究竟有多大,取决于具体App和对应取得的权限. ZipperDown获得大量媒体聚焦的同时,也吸引了大量不法分子的目光,一场安全风暴隐约即将到来. 那如何防止ZipperDown漏洞带来的破坏呢?网易云易盾安全专家结合目前披露的信息以

Linux Bash严重漏洞修复紧急通知

但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制在wdcp 2.5.11以下的版本都会受到影响,请广大用户,IDC,云主机公司升级相应的模板等如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑对于这类情况,可能的情况下,最好重装下系统一般常规检查1 检查登录记录,是否有其它的IP,用户ID登录2 检查数据库用户

互联网安全锁现大漏洞网友建议：不要登录一切网银电商网站

2014.04.11 22:19:51 来源:南方日报作者:南方日报 ( 2 条评论 ) http://www.techweb.com.cn/internet/2014-04-11/2027049.shtml 昨日,被称为"心脏出血"的OpenSSL协议安全漏洞引发了人们对网上支付的担忧.传言称,这个漏洞"波及几乎所有网站",用户"不登录还好,一登录网站就有可能导致用户名和密码失窃".截至昨日18时12分,百度搜索关键词"OpenSS

Struts2漏洞修复方案

近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商.银行.门户.政府居多. 官方描述:S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016S2-017:https://cwiki.apache.org/confluence/display/WW/S2-017 官方建议修复方案:升级到最新版本 struts-2.3.15.

网站漏洞修复之UEditor漏洞任意文件上传漏洞 2018 .net新

UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢. 百度的UEditor文本编辑器,近几年很少被曝出漏洞,事情没有绝对的,总会有漏洞,这次被曝出的漏洞是.net版本的,其他的php

ecshop网站漏洞如何修复针对于外贸网站的漏洞修复

由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,从百度,谷歌,360,以及搜狗等等进入到网站的用户直接被跳转到了一些赌bo网站上去,而且网站在各大引擎的收录的快照中的标题被篡改城一些与网站不相关的内容,如图:而且网站直接被百度网址安全中心给拦截了,还有一些客户用ecshop做的购物平台是一些产品上的交易,***通过最新的网站通杀漏洞提权拿到了网站所有权