Кто-либо может обнаружить файл в каталоге www (nginx)?
человечность 16.04 x64. Я устанавливаю nginx, не изменяйте конфигурацию по умолчанию.
Я имею /var/www/html с одним индексным файлом. Я вижу содержание индексного файла, если открытый мой сайт в браузере.
Теперь я копирую новый файл в/var/www/html (место около индекса). Ofcouse я знаю имя файла и могу добавить для расположения URL это имя и открытый файл в браузере.
Кто-либо может обнаружить этот файл и открыть его в браузере также?
2 ответа
Существуют различные инструменты, которые могут просканировать Ваш веб-сайт с помощью списка (или списков) популярных файлов/папок. Если Вы хотите сохранить эти файлы частными, но все еще доступный для кого-то, Вы можете:
- Называют их необычно (можно просто использовать хеш файла как имя файла, которое заняло бы годы для предположения имени)
- , Ограничивают доступ к файлам/папкам с помощью Аутентификации HTTP.
- Размещают их за пределами Вашей корневой папки (например, в
/var/www/private/) и пишут простую страницу, которая считает файл (можно все еще добавить автора, и все, например, белый список IP) на любимом языке (Ruby, PHP, NodeJS, Python, Идут, и т.д.)
, я пошел бы со вторым. См. nginx документация , чтобы изучить, как настроить ее.
Очень незащищено к левым данным только позади index.html. Много инструментов разработано для поиска, это регистрирует. Названный по имени этого оснащает, URL fuzzer. У Вас есть интерактивная версия здесь .
URL Fuzzer использует сделанный на заказ список слов для обнаружения скрытых файлов и каталогов. Список слов содержит больше чем 1 000 общих названий известных файлов и каталогов. Для каждого WORD в списке слов это сделает Запрос HTTP к: Base_URL/WORD/или к Base_URL/WORD.EXT в случае, если Вы выбрали к пуху определенное Расширение.
Редактирование 1
Meybe "позади" не является лучшим выражением. Можно создать дополнительную папку в DokumentRoot папка на Вас сайт и защитить их с .htaccess. Конфигурация .htaccess можно найти здесь . Вы получите папку с username/passwork защитой.