2. 程式人生 > >網站漏洞之“敏感目錄” 與 “敏感檔案” 處理

網站漏洞之“敏感目錄” 與 “敏感檔案” 處理

阿新 發佈:2019-02-19

今天公司的官網被掃出了漏洞,好吧,那就解決掉它們。

敏感目錄

在訪問host/download/請求時,返回403 Forbidden

Forbidden
You don’t have permission to access /download/ on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

檢查了一下documentroot下的download目錄,發現原來是用來存放一些供使用者下載的軟體之類的東西,直接訪問的話就會返回403的錯誤。

怎麼解決呢?那就寫個.htaccess把這類請求rewrite一下吧。

<IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{REQUEST_FILENAME} -d
        RewriteRule ^(.*)$ ../../index.php [QSA,R]
</IfModule>

好的,現在如果再有請求訪問documentroot下的不給訪問的目錄的話,就會直接把請求轉到官網主頁上了。

敏感檔案

訪問host/server-status,竟然可!以!看!到!Apache的執行資訊!

Apache竟然還有這麼個功能,真是亮瞎了老夫的鈦合金眼鏡!

這個好處理一些,直接把這個功能給它關閉掉。
由於Apache都是用模組的方式,那找到Apache的配置檔案,將mods-status相關的配置給清理掉:

rm -f /etc/apache2/mods-enabled/status.conf 
rm -f /etc/apache2/mods-enabled/status.load

/etc/init.d/apache2 restart

清理完成之後不要忘記重啟Apache使修改生效。

相關推薦

網站漏洞敏感目錄敏感檔案處理

今天公司的官網被掃出了漏洞,好吧,那就解決掉它們。 敏感目錄 在訪問host/download/請求時,返回403 Forbidden: Forbidden You don’t have permission to access /down

網站安全檢測用戶密碼找回網站漏洞的安全分析利用

安全測試 短信驗證 網站漏洞 -o 一個 驗證碼 做到 重要 添加 我們SINE安全在對網站,以及APP端進行網站安全檢測的時候發現很多公司網站以及業務平臺,APP存在著一些邏輯上的網站漏洞,有些簡簡單單的短信驗證碼可能就會給整個網站帶來很大的經濟損失,很簡單的網站功能,比

怎麼修復網站漏洞metinfo遠端SQL注入漏洞修補

2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是MetInfo的上傳程式碼裡的引數值沒有進行安全過濾,導致上傳路徑這裡進行偽造路徑,並可以插入惡意的程式碼

怎麽修復網站漏洞metinfo遠程SQL註入漏洞修補

導致 腳本 mark 技術分享 -o 詳情 報告 過濾 新版本 2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是Met

Weblogic漏洞弱口令、任意檔案讀取、上傳shell

弱口令 環境啟動後,訪問http://192.168.1.15:7001/console/login/LoginForm.jsp,即為weblogic後臺。 本環境存在弱口令可以直接登入: weblogic [email protected]

discuzX3.2 X3.4網站漏洞修復 SQL注入請求偽造攻擊利用修復

2018年12月9日,國內某安全組織,對discuz X3.2 X3.4版本的漏洞進行了公開,這次漏洞影響範圍較大,具體漏洞是discuz 的使用者前段SQL注入與請求偽造漏洞,也俗稱SSRF漏洞,漏洞產生的原因首先:php環境的版本大約PHP5.2,dizcuzX3.2 X3.4版本,伺服器環境是

網站漏洞滲透檢測過程修復方案

什麼是網站滲透測試? 該如何做網站安全檢測 網站的滲透測試簡單來 說就是模擬攻擊者的手法以及攻擊手段去測試網站的漏洞,對網站進行滲透攻擊測試,對網站的程式碼漏洞進行挖掘,上傳指令碼檔案獲取網站的控 制權,並對測試出來的漏洞以及整體的網站檢測出具詳細的滲透測試安全報告。 滲透測試的流程一

Python 開啟目錄指定檔案

Python開啟外部檔案有很多方法, os.popen 開啟外部程式,但發現只能開啟檔案所在目錄的檔案 os.sys

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL註入、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

PHP文件處理 目錄文件處理

直接 htm 創建 func 去掉 。。 bsp mdi 過大 mkdir()創建一個新目錄 rmdir()刪除一個空目錄,如果目錄下有文件先刪目錄下的文件 getcwd()獲取當前工作目錄 chdir()設置當前目錄為工作目錄 ‘@‘抑錯符 opendir()打開一個目錄

Kubernetes健康檢查服務依賴處理_Kubernetes中文社群

【編者的話】對線上業務來說,保證服務的正常穩定是重中之重,對故障服務的及時處理避免影響業務以及快速恢復一直是開發運維的難點。Kubernetes提供了健康檢查服務,對於檢測到故障服務會被及時自動下線,以及通過重啟服務的方式使服務自動恢復。而對於服務依賴,無論資源描述檔案是pod, rc或dep

Kubernetes健康檢查服務依賴處理

【編者的話】對線上業務來說,保證服務的正常穩定是重中之重,對故障服務的及時處理避免影響業務以及快速恢復一直是開發運維的難點。Kubernetes提供了健康檢查服務,對於檢測到故障服務會被及時自動下線,以及通過重啟服務的方式使服務自動恢復。而對於服務依賴,無論資源描述檔案是

GO語言Beego框架WEB安全小系統(5)跨目錄上傳檔案漏洞

跨目錄上傳檔案漏洞 攻擊原理 絕對路徑名或者相對路徑名中可能會包含檔案連結(例如:軟連結、硬連結、快捷方式、影子檔案、別名等),或者包含特殊字元(例如:.與..),這使得驗證檔案路徑變得困難;同時還有很多作業系統和檔案系統相關的命名約定,也增加了驗證檔案路

THINKPHP網站漏洞修復對於遠端寫入網站木馬檔案漏洞詳情修補

THINKPHP漏洞修復,官方於近日,對現有的thinkphp5.0到5.1所有版本進行了升級,以及補丁更新,這次更新主要是進行了一些漏洞修復,最嚴重的就是之前存在的SQL注入漏洞,以及遠端程式碼執行查詢系統的漏洞都進行了修復,官方本以為沒有問題了,但是在實際的安全檢測當中發現,還是存在問題,還是可以遠端程式

php學習目錄檔案(2)

     demo1   //開啟一個檔案     //第一個為檔名 第二表明模式   //如果 file.txt已經有資料了 那麼刪除這個檔案 重 新建立   //如果沒有這個檔案 則自行建立     fopen返回的是資源型別resource    $fp=fopen('file.txt','w');

ucos-iii學習目錄檔案

ucos-iii的應用具體需要哪些原始檔? 1.軟體(韌體) (1)應用程式 通常能在應用程式碼中找到main()函式。 (2)CPU 半導體廠商通常以原始碼的形式提供庫函式,用於訪問他們生產

VxWorks Fuzzing 道:VxWorks 工控實時操作系統漏洞挖掘調試利用揭秘

設備 coldfire 巴西 目標 自動重啟 ipv packet lec 被攻擊 轉載:freebuf 0×00 前言 關於VxWorks,這裏引用44CON議題《攻擊 VxWorks:從石器時代到星際》探究 一文章中的介紹: VxWorks 是世界上使用最廣泛的一種在嵌

10-Linux基礎入門(八)-文件和目錄的屬性及權限用戶組和時間戳基礎

log 信息 p s center 新浪 shell 使用 自己的 用戶配置 一、概述Linux是一個多用戶、多任務的操作系統,對於Linux系統來說,由於角色不同,權限和所完成的任務也不同。用戶的角色是通過UID和GID識別的,用戶的UID就相當於我們的身份證一樣,用戶名

Filter--對敏感目錄進行認證--筆記

Filter--對敏感目錄進行認證--筆admin/admin.html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>adm

何查找網站漏洞文件任意查看漏洞詳情利用

url post方式 權限 之前 工具 url編碼 編輯 系統 需要 在對網站程序代碼的安全檢測當中,網站文件任意查看漏洞在整個網站安全報告中屬於比較高危的網站漏洞,一般網站裏都會含有這種漏洞,尤其平臺,商城,交互類的網站較多一些,像普通權限繞過漏洞,導致的就是可以查看到網