用360网站安全检查网站时发现警告提示:
描述:目标目录启用了自动目录列表功能。
1.当用户访问的网址是某个目录地址的时候,服务器自动显示该目录所包含的文件列表内容。
2. 当用户请求的URL地址是某个目录地址的时候,如果该目录开启了自动列表功能并且WEB服务器默认的页面文件(如index.html/home.html/default.htm/default.asp/default.aspx/index.php等)也不存在,那么该目录所包含的文件就会被自动的以列表的形式显示出来,这样可能就会导致敏感文件被泄露。
危害:1.任何人都可以浏览该目录下的所有文件列表。
2. 如果该目录不存在默认的主页面文件,并且该目录包含了敏感的文件内容(如应用程序源码文件或其它的重要文件内容),那么将导致敏感文件内容外泄,从而对企业造成直接的经济损失或为恶意攻击者提供进一步攻击的有效信息。
解决方案:1、如果必须开启该目录的目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。
2、如非必要,请重新配置WEB服务器,禁止该目录的自动目录列表功能。
网上找了下关闭自动目录列表的方法但不适用我所使用的空间,试着修改.htccess禁此访问有问题的目录结果整个网站都访问不了了,真心不想折腾了,就在出问题了每个目录下放了一个index文件。看到有人的index页面是个错误提示页面,也有人放空文件,我自己在每个问题目录下做了个跳转页面跳到首页了。
静态页面实现页面跳转的方法也很多,说两个:
第一种方法,比较简单,很早以前,大家都会使用的html代码,在head区域内插入
<meta http-equiv="refresh" content="10;url=
http://yrwr.net/">,这段代码告诉浏览器,过10秒就自动刷新页面,
http://yrwr.net/这个网页。
这种方法容易让搜索引擎读取,目前用的非常少了,因为跳转的页面本身没有实际作用,会视为桥页,垃圾页面,所以,我们并不建议采用上面的方法。
第二种方法,是插入JS代码,来控制浏览器进行网页跳转,
<!--脚本开始-->
<script language="javascript" type="">
function countDown(secs){
tiao.innerText=secs;
if(--secs>0){
setTimeout("countDown("+secs+")",2000);
}else{
location.href="
http://yrwr.net/"
}
}countDown(6);</script>
<!--脚本结束-->
把上边的JS代码插入到网页BODY内,这样在6秒过后,浏览器自然就会跳转到http://yrwr.net/上面,里边只需要设置时间和你要跳转的网址就可以,这种代码搜索引擎并不能读取他的作用,因此在网站优化的过程中使用比较好。
------------------------------
2012-11-19添加:
关闭方法:
- CPanel中打开index manager(索引管理器)选择目录后将默认的“Default System Setting(默认系统设置)”选项更改为“No Indexing(无索引)”即可。
- 在空间网站的根目录下找到.htaccess文件,添加这句代码到.htaccess文件的最后,Options All -Indexes(独立占一行)保存退出上传即可!
以上2个方法都能实现禁止网站显示文件目录列表的功能,但是如果仔细去研究的话,第1种方法的操作也是在.htaccess这个文件里面添加了这句代码而已,但是,推荐使用第2种方法,因为这句代码必须要独立一行才有效,而通过CPanel中的索引管理器操作的默认也是在.htaccess文件里添加了这句代码,但是没有自动换行!如果该文件里原本已经有内容,,修改后的结果会变成Options All -Indexes加到了最后一句的后边,而不是新的一行!导致网站出错,无法访问。
