天天看点
返回

httpd的manual列目录漏洞

一、下面设置 Apche 手册的访问别名:

//设置/var/www/manual 目录的访问权限  

<code> </code><code>Alias /manual "/var/www/manual"</code>

<code>&lt;</code><code>Directory</code> <code>"/var/www/manual"&gt;</code>

<code>    </code><code>Options Indexes FollowSymLinks MultiViews</code>

<code>    </code><code>AllowOverride None</code>

<code>    </code><code>Order allow,deny</code>

<code>    </code><code>Allow from all</code>

<code>    </code><code>&lt;/</code><code>Directory</code><code>&gt;</code>

以上设置是可以访问manual这个目录及目录下所有文件的,如果不想让访问此目录下面的文件可以设置为Options -Indexes FollowSymLinks  MultiViews //或者写为“Options FollowSymLinks MultiViews”

为了防止manual目录被检测为列目录漏洞问题,就需要限制它的访问,解决方法如下:

二、设置Apche的manual目录不允许被访问:

<code>Alias /manual "/var/www/manual"</code>

<code>    </code><code>&lt;</code><code>Directory</code> <code>"/var/www/manual"&gt;</code>

<code>        </code><code>Options FollowSymLinks MultiViews</code>

<code>        </code><code>AllowOverride None</code>

<code>        </code><code>Order deny,allow</code>

<code>        </code><code>Deny from all</code>

apache tomcat如何防范目录遍历漏洞?

  1、编辑apache的httpd.conf

  找到“Options Indexes MultiViews”中的Indexs去掉,更改为“Options MultiViews”即可。

  2、编辑tomcat的conf/web.xml找到

<code>  </code><code>&lt;servlet&gt;                </code>

<code>        </code><code>&lt;servlet-name&gt;default&lt;</code><code>/servlet-name</code><code>&gt;</code>

<code>        </code><code>&lt;servlet-class&gt;org.apache.catalina.servlets.DefaultServlet&lt;</code><code>/servlet-class</code><code>&gt;</code>

<code>        </code><code>&lt;init-param&gt;         </code>

<code>            </code><code>&lt;param-name&gt;debug&lt;</code><code>/param-name</code><code>&gt;</code>

<code>            </code><code>&lt;param-value&gt;0&lt;</code><code>/param-value</code><code>&gt;                                    </code>

<code>        </code><code>&lt;</code><code>/init-param</code><code>&gt;        </code>

<code>            </code><code>&lt;param-name&gt;listings&lt;</code><code>/param-name</code><code>&gt;</code>

<code>            </code><code>&lt;param-value&gt;</code><code>false</code><code>&lt;</code><code>/param-value</code><code>&gt;                                </code>

<code>        </code><code>&lt;load-on-startup&gt;1&lt;</code><code>/load-on-startup</code><code>&gt;</code>

<code>    </code><code>&lt;</code><code>/servlet</code><code>&gt;</code>

  将“true”此行的true改为false即可。

  编辑好后,记得重启相应的服务生效。

      本文转自ling118 51CTO博客,原文链接:http://blog.51cto.com/meiling/1977352,如需转载请自行联系原作者

安全 apache 应用服务中间件 httpd ssl重启 httpd漏洞 目录httpd 开启httpd ssl ssl开启端口httpd
上一篇: Tomcat高级部分-使用特定模块和软件反向代理请求到后端tomcat实现负载均衡和session保持
下一篇: “No space left on device”Linux 磁盘清理

继续阅读