本文目录

[TOC]

1.Apache目录遍历漏洞

描述:如果apache/Httpd 配置文件没有处理好，会给站点带来相当大的隐患，目录遍历漏洞，会将站点的所有目录暴露在访问者眼前，有经验的开发者或hacker们可以从这些目录得知当前站点的信息，如开发语言、服务器系统、站点结构，甚至一些敏感的信息。

建议配置:

• 如果必须开启该目录的目录列表功能，则应对该目录下的文件进行详细检查，确保不包含敏感文件。
• 如非必要，请重新配置WEB服务器，禁止该目录的自动目录列表功能。

发现目录启用了自动目录列表功能特征:

#google语法
title:"Index of /"

weiyigeek.top-

安全配置:
附：1. Apache禁止列目录：

• 方法一，修改 httpd.conf配置文件，查找 Options Indexes FollowSymLinks，修改为 Options -Indexes；
• 方法二，在www 目录下的修改.htaccess 配置文件，加入 Options -Indexes。 （推荐）

附：2. Tomcat 禁止列目录：

• 在Tomcat的conf/web.xml文件里把listings值改为false。

PS：修改完httpd.conf后，一定记得重启web服务，才能生效噢！

• service apache restart