有人能检测目录 www（nginx）中的文件吗？

Question 1

有多种工具可以使用常用文件/文件夹列表来扫描您的网站。如果您想将这些文件保密但仍可供他人访问，您可以：

给它们起一个不寻常的名字（你可以简单地使用文件的哈希值作为文件名，这将花费数年的时间才能猜出名字）
使用 HTTP 身份验证限制对文件/文件夹的访问。
将它们放在您的根文件夹之外（例如/var/www/private/），然后使用您喜欢的语言（Ruby、PHP、NodeJS、Python、Go 等）编写一个简单的页面来读取该文件（您仍然可以添加身份验证和所有内容，例如 IP 白名单）。

我会选择第二个。参见nginx 文档了解如何配置它。

Answer

有多种工具可以使用常用文件/文件夹列表来扫描您的网站。如果您想将这些文件保密但仍可供他人访问，您可以：

给它们起一个不寻常的名字（你可以简单地使用文件的哈希值作为文件名，这将花费数年的时间才能猜出名字）
使用 HTTP 身份验证限制对文件/文件夹的访问。
将它们放在您的根文件夹之外（例如/var/www/private/），然后使用您喜欢的语言（Ruby、PHP、NodeJS、Python、Go 等）编写一个简单的页面来读取该文件（您仍然可以添加身份验证和所有内容，例如 IP 白名单）。

我会选择第二个。参见nginx 文档了解如何配置它。

Question 2

仅留下数据非常不安全在后面 index.html。有很多工具是专门用来搜索这些文件的。这些工具的名称是URL fuzzer。您有在线版本这里。

URL Fuzzer 使用自定义的单词表来发现隐藏的文件和目录。该单词表包含 1000 多个已知文件和目录的常用名称。对于单词表中的每个单词，它将向 Base_URL/WORD/ 或 Base_URL/WORD.EXT 发出 HTTP 请求（如果您选择模糊测试某个 EXTension）。

编辑1

也许“落后”并不是最好的表达方式。您可以在DokumentRoot您网站的文件夹中创建其他文件夹，并使用保护它们。您可以找到.htaccess的配置.htaccess这里. 您将获得带有用户名/密码保护的文件夹。

Answer

仅留下数据非常不安全在后面 index.html。有很多工具是专门用来搜索这些文件的。这些工具的名称是URL fuzzer。您有在线版本这里。

URL Fuzzer 使用自定义的单词表来发现隐藏的文件和目录。该单词表包含 1000 多个已知文件和目录的常用名称。对于单词表中的每个单词，它将向 Base_URL/WORD/ 或 Base_URL/WORD.EXT 发出 HTTP 请求（如果您选择模糊测试某个 EXTension）。

编辑1

也许“落后”并不是最好的表达方式。您可以在DokumentRoot您网站的文件夹中创建其他文件夹，并使用保护它们。您可以找到.htaccess的配置.htaccess这里. 您将获得带有用户名/密码保护的文件夹。

相关内容