有人能检测目录 www(nginx)中的文件吗?

有人能检测目录 www(nginx)中的文件吗?

ubuntu 16.04 x64。我安装了 nginx,不要更改默认配置。

我有/var/www/html一个索引文件。如果在浏览器中打开我的网站,我可以看到索引文件的内容。

现在我将新文件复制到 /var/www/html(靠近索引的位置)。当然我知道文件名,可以将该名称附加到站点 URL 并在浏览器中打开文件。

有人能检测到这个文件并在浏览器中打开它吗?

答案1

有多种工具可以使用常用文件/文件夹列表来扫描您的网站。如果您想将这些文件保密但仍可供他人访问,您可以:

  1. 给它们起一个不寻常的名字(你可以简单地使用文件的哈希值作为文件名,这将花费数年的时间才能猜出名字)
  2. 使用 HTTP 身份验证限制对文件/文件夹的访问。
  3. 将它们放在您的根文件夹之外(例如/var/www/private/),然后使用您喜欢的语言(Ruby、PHP、NodeJS、Python、Go 等)编写一个简单的页面来读取该文件(您仍然可以添加身份验证和所有内容,例如 IP 白名单)。

我会选择第二个。参见nginx 文档了解如何配置它。

答案2

仅留下数据非常不安全在后面 index.html。有很多工具是专门用来搜索这些文件的。这些工具的名称是URL fuzzer。您有在线版本这里

URL Fuzzer 使用自定义的单词表来发现隐藏的文件和目录。该单词表包含 1000 多个已知文件和目录的常用名称。对于单词表中的每个单词,它将向 Base_URL/WORD/ 或 Base_URL/WORD.EXT 发出 HTTP 请求(如果您选择模糊测试某个 EXTension)。

编辑1

也许“落后”并不是最好的表达方式。您可以在DokumentRoot您网站的文件夹中创建其他文件夹,并使用 保护它们。您可以找到.htaccess的配置.htaccess这里. 您将获得带有用户名/密码保护的文件夹。

相关内容