博客上一篇 [招商银行-快乐E购:无默认文档/未禁止目录浏览/备份文件随意下载] 提到无默认文档、未禁止目录浏览,下面说说这两个有什么危害:

无默认文档:网站其实是放在一个文件夹里面的文件,我们访问的时候以WEB形式返回给我们,比如一个网站有如下目录和文件:

999/
Css/
English/
a.jpg
anquandengji.htm
b.jpg
index.htm
beifen.htm
binyang/
browseCount.htm
bumendianhua.htm
bus.htm

一般而言,我们输入 www.youxia.org 就会返回一个文档给我们,就是这个网站的默认文档,这里的例子是index.htm,如果没有呢?一般有两种情况:

  • 如果允许目录浏览:就直接返回上面的目录
  • 如果禁止目录浏览:就返回一个错误提示页

下面看看第一种,允许目录浏览:

游侠随笔:关于默认页面、关于目录浏览插图

下面看看第二种,禁止目录浏览:

游侠随笔:关于默认页面、关于目录浏览插图1

我们看到,第二种其实比第一种安全的多。因为有时候你做个文件备份或上传一些私密文件,当允许目录浏览并且没有默认文档的情况下,网站的访问者都可以打开、下载!我们看一个活生生的例子,这两个图,都是因为上面的问题造成的:没有禁止目录浏览、没有默认文档。

游侠随笔:关于默认页面、关于目录浏览插图2
某政府网站,明显是公务员招考记录……好像不适合公开吧?但是大家都可以随意下载!

游侠随笔:关于默认页面、关于目录浏览插图3
某企业网站,明摆着是各大微博的帐号和马甲……还有密码,不过游侠仅仅是为了完成本文,并没窥探的喜好,所以无视。

和一些朋友聊天,说一般.gov.cn和.edu.cn(政府、教育)网站多见这类问题,实际上游侠测试了下也发现的确如此,只要在搜索引擎敲上几个字符就可以出来……

还是那句话:你们压根没把隐私当回事,也有的也没把自己的隐私当回事。

PS:

本想写下怎么让网站管理员自查有无此类问题的,不过想到同时也是教别人为非作歹的方法,算了,不写了……你知道这样配置不安全就是了。只告诉你结果,过程麽——管理员自己去看配置吧,配置下也就分钟的事情。

作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。