扑克之星手机版官网列表是一种Web服务器功能,当特定网站扑克之星手机版官网中没有索引文件时显示扑克之星手机版官网内容。为Web服务器打开此功能很危险,因为它会导致信息泄露。

例如,当用户请求 www.acunetix.com 而不指定文件(例如  index.html index.php , 或者   default.asp ),Web服务器将处理该请求,返回该扑克之星手机版官网的索引文件,然后浏览器将显示该网站。但是,如果索引文件不存在,并且扑克之星手机版官网列表处于打开状态,则Web服务器将返回扑克之星手机版官网的内容。

许多网站管理员通过模糊的方式遵循安全性。他们假定,如果扑克之星手机版官网中没有文件链接,则没有人可以访问它们。这不是真的。许多 网络漏洞扫描器 如果打开扑克之星手机版官网列表,则诸如Acunetix之类的文件可以轻松发现此类扑克之星手机版官网和所有文件。这意味着黑帽黑客也可以轻松找到此类文件。这就是为什么永远不要打开扑克之星手机版官网列表的原因,尤其是在动态网站和Web应用程序(包括WordPress网站)的情况下。

没有扑克之星手机版官网列表的扑克之星手机版官网浏览

Even if directory listing is disabled on a web server, attackers might discover and exploit web server vulnerabilities that let them perform directory browsing. For example, there was an old Apache Tomcat vulnerability, where improper handling of null bytes (%00) and backslash (\) made it prone to directory listing attacks.

攻击者还可能使用在线数据库中包含的缓存或历史数据来发现扑克之星手机版官网索引。例如,Google的缓存数据库可能包含目标的历史数据,该目标先前已启用扑克之星手机版官网列表。此类数据使攻击者无需利用漏洞即可获取所需的信息。

扑克之星手机版官网列表示例

用户向以下网站提出请求 www.vulnweb.com/admin/。服务器的响应包括扑克之星手机版官网的扑克之星手机版官网内容  管理员 ,如下面的屏幕截图所示。

在上面的扑克之星手机版官网清单中,您可以在  管理员  扑克之星手机版官网中有一个名为  后备 ,其中可能包含足以让攻击者进行攻击的信息。

攻击者可以在  后备  扑克之星手机版官网。该扑克之星手机版官网包含敏感文件,例如密码文件,数据库文件,FTP日志和PHP脚本。显然,此信息并非旨在公开显示。

Web服务器的配置错误导致文件列表泄露,并且数据可公开获得。此外,诸如此类的文件(例如FTP日志)可能包含其他敏感信息,例如用户名,IP地址以及Web托管操作系统的完整扑克之星手机版官网结构。

如何禁用扑克之星手机版官网列表

要禁用扑克之星手机版官网列表,必须更改Web服务器配置。以下是最流行的Web服务器的处理方法:

Apache Web服务器

您可以通过设置  选件  Apache中的指令  httpd.conf  文件,通过添加以下行:

<Directory /your/website/directory> 选件  -Indexes</Directory>

您也可以在中添加此指令。 htaccess  文件,但请确保关闭整个网站的扑克之星手机版官网列表,而不仅仅是关闭所选扑克之星手机版官网。

Nginx的

默认情况下,nginx中禁用扑克之星手机版官网索引编制,因此您无需进行任何配置。

但是,如果之前已将其打开,则可以通过打开  nginx.conf  configuration file and changing autoindex on to autoindex off.

资源: //www.acunetix.com/blog/articles/directory-listing-information-disclosure/