- 描述:
-
目標服務器上存在敏感名稱的目錄。
目標服務器上存在含有敏感名稱的目錄。
如/admin、/conf、/backup、/db等目錄中可能包含了大量的敏感文件和腳本,如服務器的配置信息、管理腳本等。
驗證方式:打開目標頁面驗證是否存在含有敏感名稱的目錄。
示例:
- 危害:
-
如果這些名稱敏感的目錄中包含了危險的功能或信息,攻擊者可利用來直接獲取目標服務器的控制權或實施進一步的攻擊。
- 解決方案:
-
如果這些目錄中包含了敏感內容,請刪除這些目錄,或者正確設置權限,禁止用戶訪問。
1.IIS限制IP訪問敏感目錄
以下以server 2008為例
操作步驟:打開IIS管理器>選擇你要做策略的站點>在IIS中選擇 IP地址和域限制>打開后在最右側的操作欄選擇 添加允許條目>設置特定IP地址或IP地址范圍>設置完成后點擊操作欄的 編輯功能設置>在彈框中選擇 未指定的客戶端的訪問權為拒絕