如果你是跟我夜无影一样的技术小白,对于360网站安全监测出结果说网站有好多漏洞、发现目录启用了自动目录列表功能,而对于360官方提供的解决方式表示看不懂,那你进来看这篇文章就对了。
先摘抄下360官方提供的解决方案
关于此漏洞的修复方案如下:
如果你的网站服务器是Windows系统,建议使用“主机卫士”修复漏洞,点击下载
1、如果必须开启该目录的目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。
2、如非必要,请重新配置WEB服务器,禁止该目录的自动目录列表功能。
附:1. Apache禁止列目录:
方法一,修改httpd.conf配置文件,查找 Options Indexes FollowSymLinks,修改为 Options -Indexes;
方法二,在www 目录下的修改.htaccess配置文件,加入 Options -Indexes。? (推荐)
2. Tomcat 禁止列目录:
在Tomcat的conf/web.xml文件里把listings值改为false。
PS:修改完httpd.conf后,一定记得重启web服务,才能生效噢!
1.??????IIS禁止列目录
方法一,在网站目录上右键点“属性”然后找到“主目录”,将“目录浏览”前的勾去掉即可,如下图
方法二,若要启用或禁用目录浏览,请使用下面的语法:
appcmd set config /section:directoryBrowse/enabled:true|false
默认情况下,enabled 属性设置为 true,这表示目录浏览已启用。将 enabled 属性设置为 false 时,就会禁用目录浏览。
例如,若要禁用目录浏览,请在命令提示符处键入如下命令,然后按 Enter:
appcmdset config /section:directoryBrowse /enabled:false
最简单的解决办法
windows主机用上面“IIS禁止列目录”的解决方法即可。Apache的,好吧,夜无影也表示没看懂。下面我们来说说简单的解决方法:
索引管理器
通过索引管理器你可以定制在网络上查看目录的方式。 你可以选择默认样式、无索引,或者两种索引类型。 如果不希望别人查看到你目录中的文件,则选择无索引。
登陆你的cPanel,然后拉到下面的“高级”-“索引管理器”
请单击文件夹名选择你想要保护的文件夹。 你可以在图标上单击来选择。
选择“无索引”,“保存”
设置成功
当然你如果仔细去研究的话,其实就是在.htaccess这个文件里面添加如下代码而已
Options All -Indexes
但我们还想去访问一些有目录列表的网页时,我们这里可以看到这样子的效果
夜无影直接把整个网站目录禁止索引,后360重新检测,直接就得到100分的评分,且“神马黑客都是浮云,网站安全比肩360,实在是给力!”