0x00 概述

漏洞名称:敏感目录

风险等级:低

问题类型:信息泄露

0x01 漏洞描述

目标服务器上存在敏感名称的目录。如/admin、/conf、/backup、/db等这些目录中有可能包含了大量的敏感文件和脚本,如服务器的配置信息或管理脚本等。

Web应用程序显露了某些目录名称,此信息可以帮助攻击者对站点进一步的攻击。

0x02 漏洞危害

如果这些名称敏感的目录中包含了危险的功能或信息,恶意攻击者有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。

知道目录之后,攻击者便可能获得目录下边的文件名,也许还能猜出其它的文件名或目录名,并尝试访问它们。这些可能包含敏感信息。攻击者通过搜集信息,以便进一步攻击目标站点。

0x03 修复建议

如果这些目录中包含了敏感内容,可以使用非常规的目录名称,如果能删除也可以删除或者正确设置权限,禁止用户访问。

更多信息欢迎关注我的个人微信公众号:TeamsSix
原文地址:https://www.teamssix.com/year/191123-174550.html

参考文章:https://www.izhangheng.com/china-top10-web-site-vulnerability-ranking-and-solutions

【漏洞笔记】敏感目录相关推荐

  1. 软件工程学习笔记《目录》

    软件工程学习笔记<目录> 软件工程学习笔记<一>什么是软件工程 软件工程学习笔记<二>代码规范 软件工程学习笔记<三>代码优化和性能测试 软件工程学习笔 ...

  2. 设计模式学习笔记(目录篇)

    设计模式学习笔记(目录篇) 为了方便查看,特此将设计模式学习笔记系列单独做一个目录. 1   设计模式学习笔记(一:命令模式) 2   设计模式学习笔记(二:观察者模式) 3   设计模式学习笔记(三 ...

  3. php扫描目录字典,Python如何实现敏感目录扫描 Python实现敏感目录扫描代码示例...

    Python如何实现敏感目录扫描?本篇文章小编给大家分享一下Python实现敏感目录扫描代码示例,代码介绍的很详细,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看. 01 实现 ...

  4. 《软件测试自动化之道》读书笔记 之 目录导航

    <软件测试自动化之道>读书笔记 之 目录导航 2014-10-09 源代码 第1章 API测试 第2章 基于反射的UI测试 第3章 基于Windows的UI测试 第4章 测试套件设计模式 ...

  5. (邱维声)高等代数课程笔记:目录

    (邱维声)高等代数课程笔记:目录 高等代数课程 - 邱维声 引言 高等代数的研究对象 高等代数的主线 线性空间的结构及其线性映射 一元多项式环的结构及其通用性质 第1章 线性方程组的解法 1.1 解线 ...

  6. 迅雷的xss漏洞和敏感信息泄露

    漏洞详情 披露状态: 2010-07-23: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 19 ...

  7. 人工智能数学课高等数学线性微积分数学教程笔记(目录)

    前言 本文是对人工智能数学课高等数学线性微积分数学教程的学习笔记.由于之前的文章<人工智能数学课高等数学线性微积分数学教程笔记>篇幅过大,导致打开的时候加载缓慢,也不利于阅读,同时由于CS ...

  8. 华为HCIA-datacom 学习笔记汇总目录

    华为HCIA-datacom 学习笔记汇总目录 华为HCIA-datacom 学习笔记1--网络参考模型 华为HCIA-datacom 学习笔记2--华为VRP系统 华为HCIA-datacom 学习 ...

  9. Nginx漏洞修复之目录穿越(目录遍历)漏洞复现及修复

    Nginx漏洞修复之目录穿越[目录遍历]漏洞复现及修复 漏洞描述 漏洞复现 环境搭建 漏洞验证 漏洞修复 参考链接 漏洞描述 前言 Nginx是一个高性能的HTTP和反向代理服务器,经常被做为反向代理 ...

最新文章

  1. Docke的WEB管理工具
  2. c语言的编译过程,程序编译过程
  3. java static用法_Java中static关键字的作用和用法详细介绍
  4. python dlib学习(十二):面部表情跟踪
  5. 使用WinSCP上传文件到指定服务器
  6. easyui 转换 html5,easyUI Tabs
  7. 计划策略-30-按销售与库存订单以批量生产
  8. 【击败时间100%】剑指 Offer 38. 字符串的排列
  9. php如何传递字符串,如何将PHP字符串传递给Javascript函数调用?
  10. 泽西岛的RESTful Web服务
  11. ORA-01843:无效的月份
  12. (私人收藏)python学习(游戏、爬虫、排序、练习题、错误总结)
  13. js call,apply,bind三个方法的区别
  14. JavaScript学习(四十六)—练习题
  15. 一文看懂华为云AI新政,这波开发者福利有点硬
  16. 区别对待 【找到问题发生的原因】 以及   【关于这个问题的 「正确可行」 的解决方法】
  17. 自然语言处理的深度学习(各种书)
  18. memcache_engine-高性能分布式内存数据库
  19. axure rp 9授权码
  20. Axure|【民宿】民宿APP原型

热门文章

  1. 翻译原版教材的一些技巧和心得
  2. windows【win2012】如何显示文件夹里图片的缩略图
  3. java 16进制字符串转base64_16进制字符串,byte[] ,base64三者之间的转换
  4. 1 行 == 12 磅
  5. python2输出中文乱码各种办法都不行_Python中文全攻略 中文乱码 输出中文乱码
  6. 【.net】Ueditor中图片上传和图片回显路径的设置
  7. 抖音巨量千川该怎么投?千万级展现的千川计划该怎么搭建?
  8. 技术沙龙系列之:Python 函数参数前面一个星号(*)和两个星号(**)的区别
  9. Security+心得体会报告
  10. 20分钟 Awk 入门