网站漏洞之“敏感目录” 与 “敏感文件” 处理
发布时间:2023-10-07
敏感目录
在访问host/download/请求时,返回403 Forbidden:
Forbidden You don't have permission to access /download/ on this server. Additionally a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
检查了一下documentroot下的download目录,发现原来是用来存放一些供用户下载的软件之类的东西,直接访问的话就会返回403的错误。
怎么解决呢?那就写个.c把这类请求rewrite一下吧。
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^(.*)$ ../../index.php [QSAR]
好的,现在如果再有请求访问documentroot下的不给访问的目录的话,就会直接把请求转到官网主页上了。
敏感文件
访问host/server-status,竟然可!以!看!到!Apache的运行信息!
Apache竟然还有这么个功能,真是亮瞎了老夫的钛合金眼镜!
这个好处理一些,直接把这个功能给它关闭掉。
由于Apache都是用模块的方式,那找到Apache的配置文件,将mods-status相关的配置给清理掉:
rm -f /etc/apache2/mods-enabled/status.conf rm -f /etc/apache2/mods-enabled/status.load /etc/init.d/apache2 restart
清理完成之后不要忘记重启Apache使修改生效。
标签: 网站漏洞处理 , 敏感目录处理 , 敏感文件处理 , htaccess配置 ,
关注我们
小程序
小名片