工作中新部署了一个web服务,被告知存在安全问题,原因是静态文件目录可访问,其实这是web系统的安全性测试中的一个很基础并且很重要的部分。
(1)目录列表测试
目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。
目在测试过程中可以使用一些工具对Web 服务器的目录列表进行测试。
(2)目录可访问,存在安全问题
(3)查阅资料后,发现可以通过修改web容器配置,设置文件目录不可访问,由于使用的是jetty,故修改了jetty的配置。
找到jetty的安装目录,在ect目录下找到webdefault.xml文件,打开后修改dirAllowed属性为false即可,此时web容器会返回给客户端403错误。
配置属性:
<param-name>dirAllowed</param-name>
<param-value>false</param-value>
</init-param>