php - Acunetixからのディレクトリスキャンの防止

Question

PHP対応のサイトがあり、ディレクトリリストがオフになっています。

しかし、Acunetix :( Web脆弱性スキャンソフトウェア）を使用して自分のサイトやその他の有名なWebサイトをスキャンすると、すべてのディレクトリとファイルを一覧表示できました。

これが何をしているのかわかりませんが、私はこの理論を持っています。ソフトウェアが英語の単語を使用していて、「」 include/、「css/」、「/images」などの名前を試してフォルダが存在するかどうかを確認しようとしている可能性があります。その方法でファイルを一覧表示できます。

なぜなら、ディレクトリリストがオフになっていると、これ以上何をすべきかわからないからです。

そこで、フォルダ/ファイルにI3Nc_lude、11css11などの難しい名前を付けると、ソフトウェアが名前を見つけるのが難しくなる可能性があるという計画を立てました。どう思いますか？

私はこれについて完全に間違っている可能性があり、その考えは笑えるかもしれませんが、それが私が助けを求めている理由です。

どのように完全に！ディレクトリリストを禁止しますか？

Answer 1

1. サイトのルートからのすべてのディレクトリで、ディレクトリ リストが無効になっていることを確認します。通常、新しいサーバーをセットアップすると、デフォルトでオンになります。

2. Web サーバーのディレクトリ リストが問題ではないと仮定すると、サイト内のすべてのリソース (CSS ファイル、JS ソース、そしてもちろん HREF) は、ほとんどまたはまったく労力 (通常は数行の JavaScript) でトラバースできることに注意してください。 . 参照したものを非表示にする方法はありません。これは、スキャンに反映されている可能性が最も高いものです。

3. あるいは、SVN やその他のバージョン管理システムを使用してサイトを展開する場合、多くの場合、これらを使用してコードベース内のすべてのファイルのパスを決定できます。

おそらく、最初にサイトを作成するときに人々が犯す最も一般的な間違いは、すべてのファイルを webroot に保持することです。

私見の最善の方法は、コードを webroot の外の別のディレクトリに置き、必要に応じてロードすることです (これがほとんどの MVC フレームワークの仕組みです)。Web 経由でアクセスできるものとできないものを完全に制御できます。ディレクトリに何百ものクラスを含めることができますが、それらが webroot にない限り、ディレクトリの一覧表示が有効になったとしても、誰もそれらを見ることができません。

Answer 2

それを管理するのは悪夢のように思えます。すべての予防措置を講じて、ファイルをできる限り保護することに集中してください。あいまいさによるセキュリティに依存しないでください。誰かが入りたい場合、いくつかのランダムなディレクトリ名はそれらをわずかに遅くするだけです

Answer 3

チェッカーは、言語ベースのブルート フォース攻撃を使用していません。これは、最も無能なハッカーにとっても、コストがかかりすぎて侵襲的です。インターネット ファイル共有サービス (Apache、IIS など) は、誰にでも構造を提供しています。

私はこの解決策を見つけました - それはあなたに当てはまるはずです.

http://www.velvetblues.com/web-development-blog/dont-get-hacked-6-ways-to-secure-your-wordpress-blog/

1. ディレクトリ構造を隠す

ディレクトリ構造を非表示にすることもお勧めします。デフォルトでは、多くの WordPress インストールでは、訪問者がスヌープして、インデックス ファイルのないフォルダー内のすべてのファイルを表示できます。これは危険に思えないかもしれませんが、実際にはそうです。訪問者が各ディレクトリにあるファイルを確認できるようにすることで、攻撃をより適切に計画できます。

この問題を解決するには、次の 2 つのいずれかを実行できます。

オプション 1: インデックス ファイルを使用する

保護するディレクトリごとに、インデックス ファイルを追加するだけです。シンプルな index.html ファイルで十分です。

オプション 2: .htaccess ファイルを使用する

ディレクトリ構造を非表示にする推奨される方法は、.htaccess ファイルで次のコードを使用することです。

オプション -indexes