目錄瀏覽漏洞屬于目錄遍歷漏洞的一種
目錄瀏覽(目錄遍歷)漏洞
目錄瀏覽漏洞是由于網(wǎng)站存在配置缺陷，導(dǎo)致網(wǎng)站目錄可以被任意瀏覽，這會導(dǎo)致網(wǎng)站很多隱私文件與目錄泄露，比如數(shù)據(jù)庫備份文件、配置文件等，攻擊者利用該信息可以為進(jìn)一步入侵網(wǎng)站做準(zhǔn)備。

目錄瀏覽漏洞的探測 ：可以利用web漏洞掃描器掃描web應(yīng)用進(jìn)行檢測，也可通過搜索，網(wǎng)站標(biāo)題包含 “index of” 關(guān)鍵詞的網(wǎng)站進(jìn)行訪問

目錄瀏覽漏洞的危害：攻擊者通過訪問網(wǎng)站某一目錄時(shí)，該目錄沒有默認(rèn)首頁文件或沒有正確設(shè)置默認(rèn)首頁文件，將會把整個目錄結(jié)構(gòu)列出來，將網(wǎng)站結(jié)構(gòu)完全暴露給攻擊者； 攻擊者可能通過瀏覽目錄結(jié)構(gòu)，訪問到某些隱秘文件（如PHPINFO文件、服務(wù)器探針文件、網(wǎng)站管理員后臺訪問地址、數(shù)據(jù)庫連接文件等）。

目錄瀏覽漏洞的預(yù)防：

IIS中關(guān)閉目錄瀏覽功能：在IIS的網(wǎng)站屬性中，勾去“目錄瀏覽”選項(xiàng)，重啟IIS。
Apache中關(guān)閉目錄瀏覽功能：打開Apache配置文件httpd.conf，查找“Options Indexes FollowSymLinks”，修改為“ Options -Indexes”(減號表示取消，保存退出，重啟Apache)。
Nginx 中默認(rèn)不會開啟目錄瀏覽功能，若您發(fā)現(xiàn)當(dāng)前已開啟該功能，可以編輯nginx.conf文件，刪除如下兩行：autoindex on;autoindex_exact_size on，然后重啟Nginx。

 ———————————————— 
版權(quán)聲明：本文為CSDN博主「謝公子」的原創(chuàng)文章，遵循CC 4.0 by-sa版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/qq_36119192/article/details/86496362