漏洞描述：目錄瀏覽漏洞是由于網(wǎng)站存在配置缺陷，存在目錄可瀏覽漏洞，這會導(dǎo)致網(wǎng)站很多隱私文件與目錄泄露，比如數(shù)據(jù)庫備份文件、配置文件等，攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限，導(dǎo)致網(wǎng)站被黑。

測試方法：可以利用web漏洞掃描器掃描web應(yīng)用進(jìn)行檢測，也可通過搜索，網(wǎng)站標(biāo)題包含“index of”關(guān)鍵詞的網(wǎng)站進(jìn)行訪問。

風(fēng)險分析：攻擊者通過訪問網(wǎng)站某一目錄時，該目錄沒有默認(rèn)首頁文件或沒有正確設(shè)置默認(rèn)首頁文件，將會把整個目錄結(jié)構(gòu)列出來，將網(wǎng)站結(jié)構(gòu)完全暴露給攻擊者；攻擊者可能通過瀏覽目錄結(jié)構(gòu)，訪問到某些隱秘文件（如PHPINFO文件、服務(wù)器探針文件、網(wǎng)站管理員后臺訪問地址、數(shù)據(jù)庫連接文件等）。

風(fēng)險等級：

【高危】：目錄可以瀏覽，泄露包含密碼、個人信息等敏感文件。

【低危】：目錄可以瀏覽，未泄露包含密碼、個人信息等敏感文件。

修復(fù)方案：目前存在該漏洞的常見中間件為apache和IIS,以下列出其相關(guān)的修復(fù)方式：

1、 IIS中關(guān)閉目錄瀏覽功能：在IIS的網(wǎng)站屬性中，勾去“目錄瀏覽”選項，重啟IIS。

2、 Apache中關(guān)閉目錄瀏覽功能：打開Apache配置文件httpd.conf，查找“Options Indexes FollowSymLinks”，修改為“ Options -Indexes”(減號表示取消，保存退出，重啟Apache。

3、 Nginx中默認(rèn)不會開啟目錄瀏覽功能，若您發(fā)現(xiàn)當(dāng)前已開啟該功能，可以編輯nginx.conf文件，刪除如下兩行：autoindex on;autoindex_exact_size on;重啟Nginx。