主页 / ubuntu / 问题 / 919451
Accepted
Yura Shinkarev
Asked: 2017-05-28 07:21:51 +0800 CST

任何人都可以检测目录 www(nginx)中的文件吗?

  • 772

Ubuntu 16.04 x64。我安装 nginx,不要更改默认配置。

我有/var/www/html一个索引文件。如果在浏览器中打开我的网站,我会看到索引文件的内容。

现在我将新文件复制到 /var/www/html (靠近索引的地方)。Ofcouse 我知道文件名,可以将此名称附加到站点 url 并在浏览器中打开文件。

任何人都可以检测到这个文件并在浏览器中打开它吗?

nginx

2 个回答

  1. Best Answer

    有不同的工具可以使用流行文件/文件夹的列表(或列表)扫描您的网站。如果您想将这些文件保密但仍可供他人访问,您可以:

    1. 以不同寻常的方式命名它们(您可以简单地使用文件的哈希作为文件名,这将花费数年时间来猜测名称)
    2. 使用 HTTP 身份验证限制对文件/文件夹的访问。
    3. 将它们放在您的根文件夹之外(例如 in /var/www/private/)并编写一个简单的页面,该页面将以您最喜欢的语言(Ruby、PHP、NodeJS、Python、Go 等)读取文件(您仍然可以添加身份验证和所有内容,例如 IP 白名单) .)

    我会选择第二个。请参阅nginx 文档以了解如何配置它。

    • 0

  2. 只留下 数据是很不安全的index.html。许多工具旨在搜索这些文件。为此工具命名的是URL fuzzer. 你有在线版本在这里

    URL Fuzzer 使用自定义构建的单词表来发现隐藏的文件和目录。该词表包含 1000 多个已知文件和目录的常用名称。对于 wordlist 中的每个 WORD,它会向 Base_URL/WORD/ 或 Base_URL/WORD.EXT 发出 HTTP 请求,以防您选择对某个 EXTension 进行模糊测试。

    编辑 1

    Meybe“落​​后”并不是最好的表达。DokumentRoot您可以在站点上的文件夹中创建其他文件夹并使用.htaccess. .htaccess你可以在这里找到配置。您将获得带有用户名/密码保护的文件夹。

    • 0

相关问题