提起 Thumbs.db 这个文件,大家一定不陌生,它就是 Windows XP/2003 为了提高文件夹在缩略图查看方式下的响应速度而对当前文件夹下的图像文件建立的缓存,这个文件本身并无大碍,因为本身是“系统文件+隐藏文件”,平常也是不显示的。
最近我却偶然发现,在有些情况下,它确能能给 Web 站点带来一定的安全风险。
如果一位 Web 站点创作者在 Windows 文件夹选项中设置显示系统文件和隐藏文件,他在制作网站的过程中制作或搜集了大量图片到某一目录,并以缩略图的方式预览过此目录,然后他在上传整个目录或 所有文件到服务器的时候,就无意中把这个 Thumbs.db 也给传了上去,正是因为我在好几个网站上都看到这样的文件,所以才想到上述过程。
因为有工具可以查看 Thumbs.db 的内容,甚至导出其中的图像,这样上述操作带来的后果是什么呢? 它相当于你开启了此目录的浏览权限,因为用户可以通过 Thumbs.db 得到此文件夹中的所有文件名及缩略内容,然后可以以此来下载此目录下的所有图像文件,最坏的情况是让别人发现这缩略图中还有不健康内容 ...
有时候这不是什么问题,但有些情况下,这种情况也可能会给你带来很大的麻烦。
我已经在不少网站上发现了这个 Thumbs.db 文件,我机器上安装的 Tomcat 5.5 和 Apache 上测试,都可以下载,但幸好,IIS 6.0 默认是不让下载此文件的。
解决方法:文件夹属性: 不勾选 文件夹选项->查看->不缓存缩略图。
扫一扫
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
