我正在尝试访问网址:http : //www.domain.com/data/images/.mthumbs/thumb-image.png
我知道这个文件肯定存在并且正确的读取权限:/data/images/.mthumbs/thumb-image.png
但是当我在 url apache 中查看时给出禁止错误。可能是因为 .mthumbs
这些文件在Linux下隐藏的文件,按照惯例,和安全敏感文件(.htaccess和.htpasswd特别)开头.。此外,一种流行但过时的漏洞利用曾经涉及放入..路径,并且/./在某些情况下可以使用 in 路径来阻止访问规则。由于这些原因,大多数 apache 配置倾向于拒绝访问这些文件和路径。
你应该在某处有一个规则,可以做一些事情:
<FilesMatch "^\.">
Order allow,deny
Deny from all
</FilesMatch>
请注意,它可能看起来不太像;这只是一个例子。确保您已经涵盖了我之前提到的所有安全基础,然后摆脱该规则,或适当地确定其范围。
到目前为止,更简单、更安全、更标准的做法是修改您的目录结构和/或应用程序,使其不需要包含带有前导..
| 归档时间: |
|
| 查看次数: |
6708 次 |
| 最近记录: |