tac*_*day 2 security indexes directory-listing apache-2.2
我很好奇为什么Options Includes Indexes在 Apache 配置中通常默认启用。
任何人都知道这是为什么,因为出于安全原因,它通常不受欢迎?
传统?
因为一直都是这样?
因为 Apache 项目不想破坏现有站点?
因为您真的应该在启动服务器之前检查您的配置吗?
上述所有的。
服务器端包含 ( Includes) 通常不受欢迎,特别是因为现在有更好的方法来生成动态内容。如果您的服务器上没有任何内容使用它们,您就没有真正的安全风险。最佳做法是关闭它们,以防有人设法破坏您的机器并上传使用它们做一些令人讨厌的事情的页面。
IncludesApache 附带的裸指令在这方面特别糟糕,因为它允许您作为 SSI 指令的一部分执行程序(作为 Apache 用户)。如果您必须启用服务器端包含,您应该评估您是否需要运行程序的能力,如果不需要,您应该使用IncludesNOEXEC来代替裸Includes指令。
自动索引生成( Indexes) 是一个信息泄露漏洞:如果没有索引文件,服务器会很乐意列出目录中的所有内容(包括一个..让您浏览备份树的链接)。
由于目录浏览链接的存在,还存在配置不当的服务器会让用户浏览网页根目录之外的内容并读取诸如/etc/passwd.
有Indexes启用是不是真的太大的安全风险,如果您的服务器已正确配置(无敏感信息在Web根四处张望,没有来浏览自己的方式才能走出Web根目录),并且它可以是文件中的一件大事服务器(您不必手动维护索引),但如果您不需要生成自动索引,将其关闭可能是个好主意。
如果您的 Web 服务器配置不当,请不要依赖它作为“通过默默无闻的安全性”来保护您:有人仍然可以http://example.com/../../../../../../../../etc/passwd在具有适当糟糕配置选择的系统上为自己做。
| 归档时间: |
|
| 查看次数: |
2178 次 |
| 最近记录: |