我公司的 Web 应用程序已经完成渗透测试,发现有关隐藏目录的风险:
- http://example.com/aux/
- http://example.com/cgi-bin/
- http://example.com/com1/
- http://example.com/com2/
- http://example.com/com3/
我认为应用程序中没有该名称的任何文件夹。
那么,问题是这些文件夹是从哪里来的?以及如何缓解这个问题?
额外信息:在 Web 服务器上使用 Apache HTTP 服务器,在应用程序服务器上使用 Apache Tomcat。
答案1
它们可能是重写的地址。请检查您的htaccess文件和网站配置文件中的重写规则或虚拟目录。