漏洞名稱:敏感目錄
風險等級:低
問題型別:資訊洩露
目標伺服器上存在敏感名稱的目錄。如/admin、/conf、/backup、/db等這些目錄中有可能包含了大量的敏感檔案和指令碼,如伺服器的配置資訊或管理指令碼等。
web應用程式顯露了某些目錄名稱,此資訊可以幫助攻擊者對站點進一步的攻擊。
如果這些名稱敏感的目錄中包含了危險的功能或資訊,惡意攻擊者有可能利用這些指令碼或資訊直接獲取目標伺服器的控制權或基於這些資訊實施進一步的攻擊。
知道目錄之後,攻擊者便可能獲得目錄下邊的檔名,也許還能猜出其它的檔名或目錄名,並嘗試訪問它們。這些可能包含敏感資訊。攻擊者通過蒐集資訊,以便進一步攻擊目標站點。
如果這些目錄中包含了敏感內容,可以使用非常規的目錄名稱,如果能刪除也可以刪除或者正確設定許可權,禁止使用者訪問。
參考文章:
漏洞挖掘 目錄瀏覽漏洞
web中介軟體如果開啟了目錄瀏覽功能,當使用者訪問web應用時,web伺服器會將web應用的目錄結構 檔案資訊返回給客戶端,攻擊者可能利用這些敏感資訊對web應用進行攻擊,如資料庫指令碼sql檔案路徑洩露 程式備份壓縮檔案路徑洩露等。中 直接訪問web應用存在的一些目錄,如果返回檔案列表資訊,證明存...
關於Git敏感目錄洩漏
開始之前,在kali本地搭建web環境 採用apache2 由於kali本身自帶,不用安裝,如有需要 apt get install hpptd 由於是前一天安裝,不知我出現了什麼問題,service apache2 start 啟動不了服務 但輸入service apache2 status 檢視...
目錄遍歷漏洞
一.什麼是目錄遍歷漏洞 目錄遍歷 路徑遍歷 是由於web伺服器或者web應用程式對使用者輸入的檔名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字元就可以繞過伺服器的安全限制,訪問任意的檔案 可以使web根目錄以外的檔案 甚至執行系統命令。二.目錄遍歷漏洞原理 程式在實現上沒有充...