漏洞及修复——Apache/IIS目录遍历

最新推荐文章于 2025-06-27 21:53:49 发布
最新推荐文章于 2025-06-27 21:53:49 发布
阅读量2.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hdsec/p/8666631.html
本文介绍如何修复Apache和IIS服务器上的目录遍历漏洞,通过修改Apache配置文件httpd.conf来禁用索引查看,并在IIS中取消启用目录浏览功能。

一、Apache目录遍历漏洞的修复

  1、在服务器端,打开Apache配置文件C:\Program Files\phpStudy\Apache\conf\httpd.conf 

  2、在httpd.conf文件中找到   Options +Indexes +FollowSymLinks +ExecCGI  并修改成   Options -Indexes +FollowSymLinks +ExecCGI  并保存;

  

  3、重新启动phpstudy

二、IIS目录遍历漏洞的修复

1、在服务器端,打开 控制面板 -->管理工具--> IIS管理器

2、右击默认网站 --> 属性--> 主目录 -->取消“目录浏览”复选框。

转载于:https://www.cnblogs.com/hdsec/p/8666631.html

1. Apache httpd 安全加固之目录浏览
薛定谔嘚喵博客
03-31 428
目录浏览是一个Web 服务的配置。当Web 服务某一个目录下没有主页的时候,会将目录下所有的内容列出来,类似于ls 命令。并且这种配置是不安全的,很可能会暴露敏感文件! (目录浏览漏洞属于目录遍历漏洞的一种,由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露。)
iis php目录遍历,目录遍历
weixin_28955231的博客
04-08 682
1目录遍历***原理介绍目录遍历***又称目录穿越、恶意浏览、文件泄露等,***者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。比如我们之前一直使用的Web服务器平台NMPServer,它的网站主目录为C:\NMPServer\NPMserv\www,理论上讲网站的所有内容都应该位于这个主目录里,即使内容位于别的位置,也应该采用虚拟目录的形式将之链接到主目录中。作为客户端,当...
浅谈“目录浏览漏洞目录遍历漏洞
热门推荐
→_→
05-25 1万+
一:漏洞名称: 目录浏览漏洞 描述: 目录浏览漏洞属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。 风险:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者; 攻击者可能通过浏览目录结构,访问到某些隐秘文件(如PHPINFO文件、服务器探针文件、网站管理员后台
Apache与文件解析漏洞详解
nuanyangH的博客
04-22 2066
1. Apache介绍与服务搭建 1.1. apache介绍 Apache跨平台的纯粹的web服务器,负责接收处理/响应http请求,之所以说它是纯粹的web服务器,是因为apache对于html页面的解析能力很强,但是不能解析嵌入页面内的服务器端脚本代码(如jsp/servlet)。 前面也说了,apache没有办法解析服务器端的脚本代码(此处以php为例),若需要解析.php文件,还需要php...
路径遍历攻击与修复
最新发布
zqmattack的博客
06-27 932
路径遍历攻击(Path Traversal),也称为目录遍历攻击(Directory Traversal),是一种常见的Web安全漏洞。攻击者利用该漏洞可以访问应用程序预期访问范围之外的文件和目录,甚至可能读取、修改或删除服务器上的敏感文件(如配置文件、系统文件、源代码、用户数据等)。
Apache-RCE、目录遍历漏洞、文件解析
weixin_68408599的博客
12-21 1833
Apache HTTP Server 2.4.49、2.4.50 版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到 Web 目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。Apache HTTPD 是一款 HTTP 服务器。其 2.4.0~2.4.29 版本存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略。
uWSGI PHP 目录穿越漏洞(cve-2018-7490)复现(目录穿越漏洞的理解)及web服务器安全机制的学习
不想当脚本小子的脚本小子
12-29 2190
uWSGI是一个Web服务器,它实现了WSGI协议、uwsgi、http等协议。 目录穿越漏洞目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问../../../../../../../../../../../../../../etc/passwd(此处较多../),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。 目录穿越比目录浏览、目录遍历更具破坏性,目录穿越不仅可以读取服务器中任何目录及任何文件的内容,还可以执行系统命令
Acunetix Web 应用程序漏洞报告 2020
Acunetix的博客
06-22 1184
欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告。 每年,Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告。此报告代表 Web 应用程序和网络边界的安全状态。今年的报告包含基于 5,000 个扫描目标的数据,在 2019 年 3 月至 2020 年 2 月的 12 个月期间检测到的漏洞的结果和分析。此分析主要适用于在 Web 应用程序中发现的高、中严重漏洞,以及外围网络漏洞数据。 虽然人们可能认为 Web 应用程序总体上正在慢慢变得更加安全,但事
Kali渗透测试之DVWA系列9——File Inclusion(文件包含)
浅浅的博客
06-14 3155
目录 一、文件包含 二、实验环境 三、实验步骤 Windows 安全等级:LOW 安全等级:Medium 安全等级:High 安全等级:Impossible Linux 安全等级:LOW 安全等级:Medium 安全等级:High 一、文件包含 1、文件包含原理 文件包含:开发人员将相同的函数写入单独的文...
中间键nginx漏洞
01-16
### Nginx 中间件安全漏洞详情及修复方法 #### PHP 配置导致的安全漏洞 Nginx 的解析漏洞并非由特定版本引起,而是源于 PHP 配置不当所造成的。当 PHP 脚本处理存在缺陷时,可能会被攻击者利用来执行任意代码或读取...
Windows 信息管理系统(IIS)专业修复工具
11-11
IIS修复工具,能修复IIS错误,以避免重装系统
IIS防范Web服务目录遍历攻击
jerryzhou的博客
02-15 3881
IIS防范Web服务目录遍历攻击
三种方法解决IIS6目录检查漏洞
weixin_33786077的博客
02-19 368
一 、 windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述   1、windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 windows 2003 IIS6 存在着文件解 析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时...
IIS漏洞大全(附修复方法)
C233333235的博客
08-07 4612
IlS Server 在 Web 服务扩展中开启了 WebDAV,配置了可以写入的权限,造成任意文件上传。漏洞复现本地搭建2003 server1)开启 WebDAV 和写权限:做好准备工作后开启环境,然后我们去访问配置的IP,访问到如下页面然后开启抓包刷新页面,在抓到的数据包后将其发送到重放器,将请求方式改为OPTIONS后点击发送,在返回包中就可以看到可以使用的请求方式。
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 1万+
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
目录浏览 网站目录可列 漏洞原理以及修复方法
it知识分享 free for nothing..
02-28 3055
目录浏览 网站目录可列 漏洞原理以及修复方法
IIS 解析漏洞复现
来日可期的博客
10-12 3787
IIS 7.0/7.5 解析漏洞,在路径的末尾添加一个/.php,页面报错的原因是这里使用的是IIS10.0 该漏洞已被修复。php解释执行是通过php解释器来决定的,这里我们使用phpstudy中的php-cgi.exe。当用户访问phpinfo.php的时候,将该文件找到交给php-cgi.exe来解释执行。修改php.ini文件中的cgi.fix.pathinfo的值为0。将phpinfo.php后缀名修改为png,重新访问页面。在指定目录下创建一个phpinfo.php文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值