Apache安全配置——禁止浏览目录列表

最新推荐文章于 2024-08-22 22:38:21 发布
最新推荐文章于 2024-08-22 22:38:21 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: 实践记录 文章标签: apache 安全 httpd.conf Directory Options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/markximo/article/details/126246483
版权

最近帮朋友维护一个网站安全漏洞,被扫描到http://www.example.com/static目录可以直接浏览,static目录下有css、js、images等静态资源,特别是uploads中有一些文件资料可以直接被访问下载,这就造成了很大的安全漏洞,我们需要想办法限制这种直接访问。

环境版本
操作系统windows server 2012 r2
web服务器Apache2.4

解决方案

./conf/httpd.conf配置 < Directory >属性,不展示目录列表。

<Directory "x:/Apache2.4/www">
	......为了清晰删除多余部分
	
    # Options Indexes FollowSymLinks --原内容
    
    Options FollowSymLinks			 --调整后内容,去掉Indexes,不展示www目录内容。
    
    # 另外还有一种写法如下:
    # Options -Indexes FollowSymLinks --Indexes前缀加-,不展示www目录内容;
    # Options +Indexes FollowSymLinks --Indexes前缀加+,展示www目录内容;
    
    ......为了清晰删除多余部分
</Directory>

以上配置就可以实现,访问www.example.com/static不会展示目录列表。x:/Apache2.4/www为我网站的根目录,这样指定后就代表着我根目录下的所有目录列表、子目录和文件都不会展示。
配置后效果

Droy`Z
关注
专栏目录
Apache安全配置禁止目录访问的配置方法
09-15
主要介绍了Apache禁止目录访问的配置方法,这是一个常见的、非常有必要的apache安全配置之一,需要的朋友可以参考下
Apache下实现禁止目录浏览
weixin_34049032的博客
03-20 113
当我们访问某个网站时,在后面增加相应的目录,就可以浏览目录,对于网站来说,是很不安全的。         解决办法:        1、编辑httpd.conf文件           vi ./conf/httpd.conf   找到如下内容:          ......         &lt;Directory "C:/Program Files/Apache2.2/htdocs"&g...
[windows][配置]Apache配置详解(最好的APACHE配置教程)
最新发布
一名不太专业的程序员
08-22 1858
Apache配置httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。主站点的配置(基本配置)
Apache设置禁止访问网站目录
热门推荐
阳光岛主
01-09 4万+
Apache默认在当前目录下没有index.html入口就会显示网站根目录,让网站目录文件都暴露在外面,是一件非常危险的事,例如:数据库密码泄露,隐藏页面暴露等严重安全问题!例如,访问米扑网站根目录: https://mimvp.com    会列出根目录 本文将详细介绍如何操作禁止显示apache网站根目录进入apache配置文件 httpd.conf 找到:vim /etc/httpd/co
apache 禁止在找不到index的时候返回文件列表
月光轩辕的专栏
05-21 1209
转自 http://wenku.baidu.com/link?url=b53oiakYkEJLy21t2l86PpZDe5J3cXKx93P0rH28HEutEjWDupUwpTfzH32DdHk2N6TEl2UQZIZ4wFFAUL7C0_WjPpeUKaCUiYET7dBveJa 在Apache配置禁止目录访问,即禁止游览列出的目录/文件列表的方法   访问网站目录Apache默认配置
apache 设置禁止访问某些文件或目录
学习博客 记录技术文档及心得体会
07-04 1197
Allow from 10.1.0.0/255.255.0.0 #允许一个IP段,掩码对。禁止访问某些指定的目录:(可以用 <DirectoryMatch> 来进行正则匹配)All from 10.0.1 192.168 #允许一个IP段,后面不填写。All from 192.168.0.0/24 #允许一个IP段,网络号。Deny from 192.168.0.0/24 #阻止一个IP段。All from 10.0.0.1 #允许一个iP。2. 禁止某些IP访问/只允许某些IP访问。
Web应用安全Apache禁止目录列出配置文本.docx
06-19
重启后,尝试进行目录遍历攻击,如果返回403 Forbidden错误或其他非目录列表的响应,即表明已成功禁止目录列出。 **四、理解`Indexes`的作用** `Indexes`选项的作用是,当一个目录没有默认的索引文件(如`index....
网络安全渗透测试——名词解释
weixin_43778463的博客
10-12 3536
常用术语解释
HTTP协议以及Apache的httpd配置
qq_44564366的博客
05-15 2784
HTTP协议前言HTTP简介HTTP诞生HTTP版本历史HTTP/0.9HTTP/1.0HTTP/1.1HTTP/2.0web资源HTTP工作流程HTTP报文 前言 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 HTTP简...
Apache中 RewriteRule 规则参数介绍
wjtlht928的专栏
10-19 6620
一、Apache中 RewriteRule 规则参数介绍   Apache模块 mod_rewrite 提供了一个基于正则表达式分析器的重写引擎来实时重写URL请求。它支持每个完整规则可以拥有不限数量的子规则以及附加条件规则的灵活而且强大的URL操作机制。此URL操作可以依赖于各种测试,比如服务器变量、环境变量、HTTP头、时间标记,甚至各种格式的用于匹配URL组成部分的查找数据库。 此模块可
Maven学习总结(22)——Maven常用插件介绍
科技D人生
07-15 7095
我们都知道Maven本质上是一个插件框架,它的核心并不执行任何具体的构建任务,所有这些任务都交给插件来完成,例如编译源代码是由maven- compiler-plugin完成的。进一步说,每个任务对应了一个插件目标(goal),每个插件会有一个或者多个目标,例如maven- compiler-plugin的compile目标用来编译位于src/main/Java/目录下的主源码,testCompi
禁止 Apache 显示目录列表
似水流年
03-04 503
如何禁止 Apache 显示目录列表呢? 要禁止 Apache 显示目录结构列表,只需将 Option 中的 Indexes 去掉即可。 比如我们看看一个目录目录配置Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all 你只需
Apache关闭目录浏览
bai615_2011的专栏
11-21 847
目录浏览也算一个站点漏洞,特别是对于文件上传的目录来说。因而最好关闭,方法如下: 打开Apache配置文件httpd.conf 查找 Options Indexes FollowSymLinks 修改为 Options -Indexes (减号表示取消) 保存后退出,重新启动Apache 之后访问不存在默认首页的目录将显示 HTTP 403错误 页面。
关闭Apache目录浏览功能
cangyingaoyou的专栏
01-15 3815
前阵子,我刚刚把我的网站从ASP转到PHP,并启用了UrlRewrite的功能,但是发现我的网站每个目录都是可以被打开的浏览的,这样感觉很不安全,尤其是当网站上放了许多文件可以下载的情况下。 所以我就拼命的去找怎么样去关闭Apache目录浏览权限的文章,但是搜到的大部分都是去更改Apache配置文件,而由于我的网站不是独立主机,而是一个虚拟主机,所以只能通过配置.htaccess来实现关闭目
禁止访问Apache目录
avfe7468的博客
10-25 321
在PHP网站开发中,基于WEB服务器和PHP网站程序代码的安全考虑,我们需要对相关的目录或者文件访问权限进行控制,以防止意外情况的发生,那么我们如何来实现这种功能呢?我们可以通过Apache来实现禁止目录访问(禁止游览列出的目录或文件列表)、禁止或允许IP与域名访问目录的功能。 在Apache配置禁止目录访问,即禁止游览列出的目录/文件列表的方法   访问网站目录Apache默...
apache关闭目录浏览
zvivs的专栏
10-15 579
Options FollowSymLinks IncludesNOEXEC -Indexes#这里关闭目录浏览         AllowOverride All         Order Deny,Allow         Allow from all
设置Apache禁止访问目录
Menahem
06-23 454
其实就是将Indexes去掉,Indexes表示若当前目录没有index.html就会显示目录结构。设置Apache禁止访问目录。重启Apache服务器。
apache 禁止目录浏览(list)
chenqiquan6181的博客
06-29 265
今天老大给我发QQ说,要对目录权限做控制,不能list目录。把过程记录如下供以后查阅。其实要禁止apache目录浏览list,只要在httpd.conf配置文件中找到一行Options Indexes FollowSymLinks,使用#注释掉或者去掉其中的Indexes就可以了 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值