一、IIS目录遍历漏洞复现
打开IIS信息服务管理器,对网站进行进行如下设置:
打开浏览器,在浏览器中访问该站点,可查看到服务器上的站点文件目录:
二、Apache目录遍历漏洞
复现
打开浏览器,访问Apache网站:
打开Apache配置文件httpd.conf:
找到红色框的文件,修改或者删除该文件:
再次访问该网站,目录遍历漏洞复现:
3、修复Apache目录遍历漏洞
按照漏洞的原理,我们得到修复漏洞的方法是:当访问该站点时,如果默认的网站文件(首页文件)不存在,返回403,而不是站点的目录。因此对httpd.conf进行如下修改:
再次访问该站点,网站目录已不再暴露:
三、Nginx目录遍历漏洞
vim /etc/nginx/sites-available/default
在location这里加上
autoindex on;
