httpd 服务apache 开启目录遍历漏洞防御

admin

httpd 服务apache 开启目录遍历漏洞防御
最近收到目录漏洞遍历防御
: i1 j# q+ j# M9 y如何做

: W& {) {6 G2 d; Z+ @# i+ f
" _, J3 D! V) O8 A2 ]9 y5 s
% `5 s/ k) S# k# v# _6 ~* r找到对应的httpd.conf文件
) _- l2 v' Q$ Q修改配置：
  j- S' I! X$ _9 d% I" A<Directory "/var/www/html">

# y/ V, g' J' C; Q4 `: n" WOptions Indexes FollowSymLinks ExecCGI
# k% V6 H; c% C2 ]' e. b) T2 u1 y
) `# [( x5 E" ]4 z, S* r: |</Directory>

! @5 `3 j8 B# G% Q修改成下面的方式
<Directory "/var/www/html">
2 b+ M: y% r' fOptions -Indexes +FollowSymLinks +ExecCGI
</Directory>

# F1 t$ p  U6 e& l) W重启apache服务即可。
* n' g2 B4 p0 x- ?4 o' d. x7 W, Q+ s# I

admin

访问结果如下：
Forbidden
You don't have permission to access /app/ on this server.

admin

我们来看俩段通常对上传目录设置无权限的列子,配置如下:

代码如下:

) U+ M% A( O( p. _+ Q# i1
2
3
4
5
3 c& Y- L% Z+ G6
# I! P) Y3 f% b+ ?$ k9 A<Directory "/var/www/upload">
# y* s  [0 v0 U$ m8 m<FilesMatch ".php">
# c0 {5 a: C) ~Order Allow,Deny
: m' ~  K$ l6 M9 FDeny from all
</FilesMatch>
</Directory>


2 `, G$ ]7 }2 m这些配置表面上看起来是没什么问题的，确实在windows下可以这么说。
但是linux就不同了，大家都是知道的linux操作系统是区分大小写的，这里如果换成大写后缀名*.phP一类就pass了
" M) g6 {8 n2 I
6 [  u5 N1 D/ S' b这里我说下我个人的解决方法，代码如下:
$ _" h0 @0 f% m( e& _3 k; o  ?( \6 }
<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload">
8 Y+ v' n6 L8 X: c: _' V( dErrorDocument 404 /404/404.html
3 a# k) ]' }4 h. _0 y9 ]8 F" tErrorDocument 403 /404/403.html
<FilesMatch "\.(?i:php|php3|php4)$"> // ?是尽可能多的匹配.php的字符串,i是不区分大小写,然后冒号后面跟上正则表达式，也可以写成：<FilesMatch "\.(php|php3)$">
& ~  E& R6 |4 o( vOrder allow,deny
$ p: j# O) G6 g- A# Q6 s% w% XDeny from all
</FilesMatch>
; d3 O% J9 m( Z% {8 z</Directory>
2 I1 V. t1 l6 f$ C9 h. }: d2 h
上面的意思就是说，<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload"> 内目录路径下所有php文件不区分大小写，通过order,allow,deny原则判断拒绝执行php文件，对nginx同样也是可应用的
. P7 s! B( E9 O, x4 t+ L3 M) [
" P4 o6 S3 a* a1 j另外一种方法，是设置在htaccess里面的，这个方法比较灵活一点，针对那些没有apapche安全操作权限的网站管理员：
3 {. c6 l( ~+ Z: O+ P+ h2 }Apache环境规则内容如下：Apache执行php脚本限制 把这些规则添加到.htaccess文件中
) A4 W2 o9 J& p5 X4 V代码如下:

% [8 J% A" l8 e  y# k- ]' A1
2
( M. U- \; s& ~+ a' k9 [3
4
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
" i; V8 p7 }& a" D  i5 A* SRewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]
2 V- ]! _% A0 ~3 J

另外一种方法，代码如下:
. Z- e+ ?7 H& y, O( |- a$ p+ e% P+ L
<Directory "/var/www/upload">
4 ^7 O; U0 t/ @1 dphp_admin_flag engine off
& g1 L: j/ Z) w</Directory>

此方法我在win系统下面测试失败了，重新启动apapche出现下面的错误信息：
The Apache service named reported the following error:
' [; I' g+ g8 b; l>>> Invalid command 'php_flag', perhaps misspelled or defined by a module not included in the server configuration.

5 L" C0 R' H" k9 c% q这里我就不具体说明这个解决办法了，因为禁止php执行的方法，大家看自己的需求去设置就可以了！
( w1 g; W- E, q. ~2 i
/ A* t. D  t! w7 S【apache配置禁止访问】
8 R$ m# X3 h# i3 ?7 G$ J, r" V* Y1. 禁止访问某些文件/目录
9 v1 D, I  e% I5 v- N增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：
<Files ~ "\.inc$">
. X- D) o& c1 B! m) n   Order allow,deny
, ~6 C) K2 e" }) F8 v& g0 m   Deny from all
+ _8 W; u0 g) [% _+ V$ \</Files>

多个的话可以这样配置已验证过：

! ~' G8 f! c5 h' A$ L: }8 C; q#不允许访问 .inc .txt .sql .conf扩展名的文件
<Files ~ "\.(inc|txt|sql|conf)$">
% k( L1 J) Q/ j' VOrder allow,deny
, q, j6 A9 z" g+ H) |Deny from all
</Files>


# B/ ?  Y  W! R* t5 A5 D; [4 U# r& |
/ h* \( @3 o/ d9 L8 A
禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）
2 z% p: c0 }0 O# _  l! b6 b1 U+ Y6 F. Z
, s5 S7 u' _4 j0 g<Directory ~ "^/var/www/(.+/)*[0-9]{3}">
   Order allow,deny
4 L( B% K( z8 f4 Z$ t   Deny from all
</Directory>
  K! T6 @1 |1 T7 N( l
通过文件匹配来进行禁止，比如禁止所有针对图片的访问：
5 r# [+ `' h7 t3 R" x& T- x$ z<FilesMatch \.(?i:gif|jpe?g|png)$>
/ _2 e. i* b7 C% G  i1 H; m) w   Order allow,deny
" T3 b7 L5 q/ _, G% S( {; {# z; \   Deny from all
</FilesMatch>

针对URL相对路径的禁止访问：
& P# \, ^0 d: R( w0 I. w<Location /dir/>
   Order allow,deny
) S( l1 T4 S4 L7 w' |1 l   Deny from all
</Location>
3 e  Y; W! N5 G. s8 p
针对代理方式禁止对某些目标的访问（<ProxyMatch> 可以用来正则匹配），比如拒绝通过代理访问cnn.com：
<Proxy http://cnn.com/*>
   Order allow,deny
   Deny from all
9 N% i8 u3 ?( B4 W9 }0 d4 g</Proxy>
& k2 N. a9 m7 o8 Q- q
" d- Q3 l5 F% E5 u: G, \2. 禁止某些IP访问/只允许某些IP访问
如果要控制禁止某些非法IP访问，在Directory选项控制：
2 @& X+ ?) b% J; x0 e9 i8 H. c<Directory "/var/www/web/">
1 @5 K7 \- X9 I( z/ w: _% I  y1 T5 d   Order allow,deny
- u9 D  d$ J4 X5 T   Allow from all
* R& A% a, M0 L   Deny from 10.0.0.1 #阻止一个IP
' j' k6 T7 N* O8 h) p5 H& v$ L) v   Deny from 192.168.0.0/24 #阻止一个IP段
1 B1 T( i! b4 V$ ^</Directory>

8 q2 \7 ^6 K# j/ c) X只允许某些IP访问，适合比如就允许内部或者合作公司访问：
1 y$ m" I' A9 y- ?+ f<Directory "/var/www/web/">
; T, I  o/ H2 }/ @/ `+ H4 T0 [5 }   Order deny,allow
! H1 p- y: l! H# u+ S* Q; o  A/ A   Deny from all
& M! m/ B- B; e6 ?   All from example.com #允许某个域名
   All from 10.0.0.1 #允许一个iP
   All from 10.0.0.1 10.0.0.2 #允许多个iP
1 ~( F0 E4 S# `+ Q7 y6 G- Q   Allow from 10.1.0.0/255.255.0.0 #允许一个IP段，掩码对
* [1 w. G$ h1 j9 l* x6 ^. `   All from 10.0.1 192.168 #允许一个IP段，后面不填写
9 \; i0 y3 k' j* ?   All from 192.168.0.0/24 #允许一个IP段，网络号
</Directory>


6 B5 U% f' M+ u- H. a9 V3 MApache：解决办法；
2 s) F* ^- t% [- U/ s* V$ F$ k2 ^<Directory "/home/domain/public_html">
6 l; \; R3 |: j1 Y* L* AOptions -Indexes FollowSymLinks
AllowOverride All
<Files ~ ".txt">
. j& R  M% G& r3 L8 IOrder allow,deny
Deny from all
1 d/ n' r/ b/ Y& L5 H' J; ]</Files>
</Directory>

admin

一、默认情况，如果apache指定的目录没有下面项配置的“index.php index.html index.htm”文件之一，则appache会显示目录及目录下的所有文件：
& i' P8 J" T9 _# Z, O
$ K7 H3 c0 d3 f<IfModule dir_module>
% h1 G1 b+ V) h1 t    DirectoryIndex index.php index.html index.htm
3 c2 v' s( V( M! z0 T  R' m</IfModule>
1 S) ^8 ~% l2 J/ N# `+ S$ Y5 `二、在apache目录文件下找到httpd.conf文件找到如图所示Options Indexes FollowSymLinks将此句改成Options -Indexes或者去掉indexes即可
. x8 L: A$ o. C* R3 K  Y
3 \4 G  `* q; o/ u) e. f

% [5 w' P6 y6 ~; I三、其他访问配置（禁止访问某些文件/目录）
- L" Z7 Q5 S" B  U$ C: J8 {; f9 t* O9 s
增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：

1 `% W/ r1 |7 Z  }) g' `<Files ~ “.inc$”>
     Order allow,deny
+ L% @, k/ L: H* S/ q/ N' u     Deny from all
  Z0 `8 C3 n$ x; D</Files>
禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）

<Directory ~ “^/var/www/(.+/)*[0-9]{3}”>
     Order allow,deny
- l, m5 X/ R& R) Y7 R0 F; z     Deny from all
- b0 M8 G/ L6 F3 x0 H( V, _, m, [</Directory>
通过文件匹配来进行禁止，比如禁止所有针对图片的访问：

<FilesMatch .(?i:gif|jpeg|png)$>
     Order allow,deny
) ]" X; f& W$ G6 L# A     Deny from all
- s8 ^/ G0 Y( s7 _# n, p3 o</FilesMatch>
针对URL相对路径的禁止访问：

" c9 c1 Q! [9 e<Location /dir/>
8 {4 W, d1 w9 G$ d6 p     Order allow,deny
+ s  q- W% E) u7 R' E  y     Deny from all
</Location>

& ]# p6 e$ G" t5 A; w

admin

在Apache中配置禁止目录访问，即禁止游览列出的目录/文件列表的方法
: Y" i) Y, ~# @# p* _
　　访问网站目录时Apache默认配置为可列出目录/文件列表，即当你访问http://localhost时会列出相关的目录和文件列表，我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表，方法如下：
, b/ Z" U  w5 j/ h  M
; S" b$ o9 Q( b# d1、打开apache配置文件httpd.conf
& X" w8 ?6 V2 D9 R  V9 C
2、找到
8 u9 f2 \3 @* n6 W7 U5 ~( v
- B9 C; `3 H( Y8 b
) L% P+ W9 d' G3 j
, H/ M$ n' k( Y1 J: Y8 b" q" g/ t<Directory />
& u/ S. k; P/ L' nOptions Indexes
; d, ^- m+ Y9 I# QAllowOverride None
' N) E0 ~3 G% f( S2 J, [; oOrder allow,deny
Allow from all
2 q7 |; O9 Y( k- V) i  r  U</Directory>
& [: a/ Y3 A2 m5 s; g% [
只需要修改Options Indexes为Options None即可，注：根据PHP运行环境安装包的不同，Options Indexes也有可能是Options Indexes FollowSymLinks，一并改为Options None即可。
4 S% s' L- P# U0 p. z" z
9 \/ M9 N2 j4 n; J3、保存httpd.conf，并重启Apache即可，此时再访问http://localhost时， 报apache http 403 禁止访问错误信息
( `# s2 d8 t- R( _
" H. D" P6 R! T　　Forbidden

　　You don’t have permission to access / on this server.
! \% [$ J* O8 E
0 Y  w8 j# V# [1 ?- X- o# d9 A4 tApache单个或多个目录禁止访问方法

/ j8 {6 v/ ~. u* \1 q( |& n; |　　这种方法通常用来禁止访问者访问后台管理目录或者程序目录，方法如下
( v' \0 L" y4 x* h
; v4 e/ c- u- N, m& l9 J: c1、打开apache配置文件httpd.conf

1 S& L+ u2 ~& K8 y2、创建Directory块，比如禁止访问某个类库目录，可以这样实现

* Y0 T- f7 ?) B# Y

<Directory /var/www/www.leapsoul.cn/inc>
7 y; d) ~  Z; r; p0 @    Order Deny,Allow
    Deny from all
: K) s6 g& q4 s$ o8 d' ]/ K</Directory>

- v( j) t2 U6 n8 S上述代码实现了禁止所有用户访问www.leapsoul.cn下inc目录的功能。如要实现禁止访问所有目录中inc目录的功能，只要将
$ I9 y" H  }, j; n4 z
/ X; H9 Y( @$ P7 G4 c: e
- H# Q; p( F/ E+ L; `
<Directory /var/www/www.leapsoul.cn/inc>
0 m3 r" y5 F9 k
9 ], K# j  ^6 x" A% g  D$ ~更改为
* t6 {$ P7 M3 M# c( |

4 H* n( E/ n. U
! {, i% n6 U! y% G9 a* r' \: ]<Directory /var/www/www.leapsoul.cn/*/inc>
' ?5 D0 o, C1 p" H
! B6 |$ {" Z4 ?* |% |: c即可。

+ k: i: L  k: w8 I5 G/ u6 l3、重启Apache服务器。

其他说明
$ x/ H1 v* H% r! W/ t  \) }# ^
/ \; x& h" D8 N4 {/ T5 r1、只允许或禁止某个域名进行目录访问



<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
3 t2 e8 I" c) G% s2 U: S: @    Deny from abc.com
% L+ @7 F2 e4 g6 ]+ G& F- l0 k    Allow from apache.org
</Directory>

上述代码实现禁止abc.com域中主机访问inc目录，允许apache.org域中主机访问inc目录的功能。

2、只允许或禁止某个IP进行目录访问
$ s, _9 {; N9 B: I1 Z2 O
% J* ~6 I! M) m5 N% L, R; Z

9 l$ @( W1 H) W* ^! ]( K<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
    Deny from 10.1.1.2
    Allow from 192.168.1.0/255.255.255.0
4 [0 }$ Z6 }/ U4 g</Directory>
8 {' u6 z+ ^) Q* w: q0 b: B
上述代码实现禁止IP10.1.1.2访问www.leapsoul.cn/inc目录，允许IP192.168.1子网中的主机访问www.leapsoul.cn/inc目录的功能。
' K4 b% \1 y4 q0 f4 }
注意：Allow from 192.168.1.0/255.255.255.0等同于Allow from 192.168.1或Allow from 192.168.1.0/24