httpd 服务apache 开启目录遍历漏洞防御

admin

httpd 服务apache 开启目录遍历漏洞防御
最近收到目录漏洞遍历防御
. _' u+ t: \. I4 X5 {8 v# S如何做

- p" v/ X% o, Q# u! W- A/ m: _
7 i2 [. d: Y, I& U$ t1 P
; I+ p4 u& i$ B$ X1 e; I找到对应的httpd.conf文件
  x7 t7 M, e7 G; P6 o8 h& k  ^7 ^修改配置：
<Directory "/var/www/html">

Options Indexes FollowSymLinks ExecCGI

$ S% x/ X7 R# ?) C. D% M/ x</Directory>

修改成下面的方式
<Directory "/var/www/html">
( S- U0 c' o. ~4 A3 {Options -Indexes +FollowSymLinks +ExecCGI
</Directory>
; M; I1 ^" m1 Z* Z* E- o) O3 R
重启apache服务即可。

admin

访问结果如下：
Forbidden
4 o; N. p* p* I. n3 CYou don't have permission to access /app/ on this server.

admin

我们来看俩段通常对上传目录设置无权限的列子,配置如下:
" [5 ^3 g% v  H0 g. N! ?
代码如下:
% G( @8 O  M( [& F, B' ^" s) ~
+ y$ Z6 p. H8 c# Q1
2
% d, r: D, r+ m) I3
) z& ]2 d: ^. ]4
0 H9 K  G1 \. ^3 s( J/ a5
6
<Directory "/var/www/upload">
<FilesMatch ".php">
Order Allow,Deny
4 T3 y5 a. F: T) NDeny from all
</FilesMatch>
$ X2 ^; N4 z- w/ f</Directory>
$ d2 M- z0 N. C. W3 ?* l
( h0 I( W' s0 W0 w& X
这些配置表面上看起来是没什么问题的，确实在windows下可以这么说。
( `$ k: @3 z7 Z7 U! c. V但是linux就不同了，大家都是知道的linux操作系统是区分大小写的，这里如果换成大写后缀名*.phP一类就pass了
4 \% w$ m5 t; O1 f: P/ K
这里我说下我个人的解决方法，代码如下:
; [' A$ @3 b/ Y3 h8 _; k& r* C
<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload">
+ d- w! u. W% ?ErrorDocument 404 /404/404.html
! U* }5 b2 B$ Z& H9 OErrorDocument 403 /404/403.html
<FilesMatch "\.(?i:php|php3|php4)$"> // ?是尽可能多的匹配.php的字符串,i是不区分大小写,然后冒号后面跟上正则表达式，也可以写成：<FilesMatch "\.(php|php3)$">
Order allow,deny
9 g2 R* Q5 c/ E% ^Deny from all
$ z. M* m* }0 f" T" c& S, ]6 m</FilesMatch>
: F3 V3 r! i: t+ ^- }9 F% a6 M</Directory>

2 d. W; p4 q6 f! x  W) l上面的意思就是说，<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload"> 内目录路径下所有php文件不区分大小写，通过order,allow,deny原则判断拒绝执行php文件，对nginx同样也是可应用的

另外一种方法，是设置在htaccess里面的，这个方法比较灵活一点，针对那些没有apapche安全操作权限的网站管理员：
  u1 Z. j* B% e8 iApache环境规则内容如下：Apache执行php脚本限制 把这些规则添加到.htaccess文件中
代码如下:
8 s, Y5 N) g6 u) F; q6 Y
1
2
$ y3 W8 S& s6 O4 ^. z0 D3
4
* @) K6 i) f3 HRewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
7 h4 S8 g, R& r! G& S% w* rRewriteRule templets/(.*).(php)$ –[F]
. `1 p$ @* t6 W- ?% r6 Q
. \' x  H' @  ]( G1 ]5 }3 b
5 r1 ~$ }0 e8 V5 l) Q另外一种方法，代码如下:
  Z- D7 w, p' }2 p  _& p; j9 m
2 R3 o# K. B5 Y" |' q<Directory "/var/www/upload">
php_admin_flag engine off
</Directory>
; e" O& h. J  l
此方法我在win系统下面测试失败了，重新启动apapche出现下面的错误信息：
) L% v4 M: A8 k* I8 fThe Apache service named reported the following error:
>>> Invalid command 'php_flag', perhaps misspelled or defined by a module not included in the server configuration.

1 {6 d! [" `( x" V. B: J这里我就不具体说明这个解决办法了，因为禁止php执行的方法，大家看自己的需求去设置就可以了！
  Q+ m* d$ j  ?0 S" z7 x! g" V
【apache配置禁止访问】
: T" G6 n; H& y0 b4 o8 A1. 禁止访问某些文件/目录
增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：
<Files ~ "\.inc$">
   Order allow,deny
8 q4 B0 [% A( J$ y8 E/ q0 H" y+ X# m* z   Deny from all
</Files>

多个的话可以这样配置已验证过：

) ^. U( g  z# Q) q9 X9 y7 A& j#不允许访问 .inc .txt .sql .conf扩展名的文件
! ?: e$ ?) Y+ a  `  f( k! b+ L<Files ~ "\.(inc|txt|sql|conf)$">
$ y) k" [0 B% N8 z1 s' @0 aOrder allow,deny
$ H* ^1 i) j- S) G5 Y" IDeny from all
</Files>
( L" o. ?( H" @% ^5 j" g
  T5 @; A% r/ h2 m


3 }8 E9 }4 a$ u3 x禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）

4 \' _7 A+ H( p* y<Directory ~ "^/var/www/(.+/)*[0-9]{3}">
   Order allow,deny
   Deny from all
  }! V% R. _5 }- R0 w</Directory>

$ I9 U5 `. [3 i# b通过文件匹配来进行禁止，比如禁止所有针对图片的访问：
" }# P, k/ r* l% \6 C5 A<FilesMatch \.(?i:gif|jpe?g|png)$>
9 q$ P4 u2 O% |5 M; Y   Order allow,deny
   Deny from all
</FilesMatch>
; C% m1 C  ]( X7 ~# n- `- T
2 h8 U4 N0 h' A* j针对URL相对路径的禁止访问：
<Location /dir/>
! M: T/ `$ F: V   Order allow,deny
   Deny from all
+ f2 r+ C6 @( D</Location>

针对代理方式禁止对某些目标的访问（<ProxyMatch> 可以用来正则匹配），比如拒绝通过代理访问cnn.com：
<Proxy http://cnn.com/*>
2 V& @- e  e( B* w1 c* g3 S) a   Order allow,deny
   Deny from all
# w# x  d2 i4 [8 X1 @- a" w</Proxy>

2. 禁止某些IP访问/只允许某些IP访问
0 v0 S& ?* ?& |) x( U+ ^如果要控制禁止某些非法IP访问，在Directory选项控制：
<Directory "/var/www/web/">
* W6 J. z7 U7 C7 L   Order allow,deny
   Allow from all
   Deny from 10.0.0.1 #阻止一个IP
6 n5 t* F. b$ h; `   Deny from 192.168.0.0/24 #阻止一个IP段
$ s5 `5 b  N7 b. W' C% k, F</Directory>
* V5 ]. B( z0 H8 s/ Q
只允许某些IP访问，适合比如就允许内部或者合作公司访问：
<Directory "/var/www/web/">
   Order deny,allow
/ s1 o: \% _5 ~3 f/ v9 Z! Z# F8 _% r   Deny from all
* |, i% B5 ~/ \& ?% J   All from example.com #允许某个域名
7 x; z8 M& c4 H! e2 r   All from 10.0.0.1 #允许一个iP
, W' [" R& {9 m$ f% R( T7 D) I8 V   All from 10.0.0.1 10.0.0.2 #允许多个iP
   Allow from 10.1.0.0/255.255.0.0 #允许一个IP段，掩码对
. p% b& b& G$ N1 i! R   All from 10.0.1 192.168 #允许一个IP段，后面不填写
   All from 192.168.0.0/24 #允许一个IP段，网络号
</Directory>
: _+ V" D" V# a+ s/ \  {6 c( R

1 _0 d! v2 i0 q; Y% V: n5 uApache：解决办法；
* w4 L& f3 g$ c; [; M6 g  R+ ^3 \( |<Directory "/home/domain/public_html">
" H- ~* O2 J' @" m8 L- [0 d1 C# x- QOptions -Indexes FollowSymLinks
AllowOverride All
<Files ~ ".txt">
# {  @5 S% C, L( ~4 xOrder allow,deny
Deny from all
1 W" z  o1 s0 y" f  X0 y</Files>
</Directory>

admin

一、默认情况，如果apache指定的目录没有下面项配置的“index.php index.html index.htm”文件之一，则appache会显示目录及目录下的所有文件：
! I8 b: ~) `  A7 u; {& N( s
<IfModule dir_module>
/ h6 \' m6 m2 B  {" p$ h* i    DirectoryIndex index.php index.html index.htm
% X: z4 y* R: O7 _6 C# ~</IfModule>
- h0 e9 W3 c7 ^0 s+ M9 u, G' o二、在apache目录文件下找到httpd.conf文件找到如图所示Options Indexes FollowSymLinks将此句改成Options -Indexes或者去掉indexes即可

4 r4 I# t; _( b) C7 _& e+ h% `

6 Z2 Q5 N& D& O  b9 h三、其他访问配置（禁止访问某些文件/目录）

2 @' r7 f8 e, K6 e# u5 k增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：

+ v! R, v! @. D2 A4 d* f<Files ~ “.inc$”>
' M  D3 u& |: e, Q+ h& c' I) m0 Q     Order allow,deny
8 i0 |; y8 L' ^     Deny from all
) {2 R4 ?( _/ B2 f</Files>
5 X9 h5 @* T' Z( W4 A禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）

8 L; L0 ?4 y) i; d<Directory ~ “^/var/www/(.+/)*[0-9]{3}”>
0 C) l0 N( h5 ~  B- I     Order allow,deny
7 _& M* I' n4 u4 K$ K     Deny from all
</Directory>
通过文件匹配来进行禁止，比如禁止所有针对图片的访问：
, S. I6 h5 B6 l) Y5 ^4 {2 u) u
<FilesMatch .(?i:gif|jpeg|png)$>
4 k: V% U& a1 M3 n- `     Order allow,deny
     Deny from all
& k/ R% b2 F" T$ P6 O5 r</FilesMatch>
针对URL相对路径的禁止访问：

<Location /dir/>
     Order allow,deny
& E2 N- o! y. X% v/ q     Deny from all
+ R8 }* [& m2 \+ G9 Z, y</Location>

admin

在Apache中配置禁止目录访问，即禁止游览列出的目录/文件列表的方法

% l2 y9 f+ C# A% _( }, G　　访问网站目录时Apache默认配置为可列出目录/文件列表，即当你访问http://localhost时会列出相关的目录和文件列表，我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表，方法如下：
+ F9 a* W6 d& V, K% p8 i/ g
1、打开apache配置文件httpd.conf

2、找到

1 ~  S+ `  C7 R3 ^8 G3 z- B( e* j& V
( D7 y2 X: Q) l, t7 ^& @. S1 _' S
<Directory />
Options Indexes
AllowOverride None
Order allow,deny
# U  p  A  d# N4 O- Y! |! ]" a# YAllow from all
</Directory>

只需要修改Options Indexes为Options None即可，注：根据PHP运行环境安装包的不同，Options Indexes也有可能是Options Indexes FollowSymLinks，一并改为Options None即可。
7 H1 b+ x9 ]$ l2 {& R1 n
3、保存httpd.conf，并重启Apache即可，此时再访问http://localhost时， 报apache http 403 禁止访问错误信息
' A3 M4 ?; O2 }( [
0 j+ k% g. Y, \& r2 l8 [! q　　Forbidden
4 h% e  w  V8 j. E- J0 {
5 q& n& \8 M8 r　　You don’t have permission to access / on this server.
+ P( ]5 W! _) E' v" k; [2 ~- ~; b
Apache单个或多个目录禁止访问方法
4 C) V( V% C5 `. f1 y& W7 @
- F$ X' i/ A0 z4 Z: t　　这种方法通常用来禁止访问者访问后台管理目录或者程序目录，方法如下
* B, ?0 p7 q5 B
9 b6 z, H  Y8 Z7 P3 S1、打开apache配置文件httpd.conf
5 ~6 }5 d, Y$ x2 j
) |! v3 |6 P. x2 L( `! X" F2、创建Directory块，比如禁止访问某个类库目录，可以这样实现
6 u8 }7 w. p6 _% @: g! _& B5 P# X# a8 c
" ?1 f! O0 z) ~. f9 A
( E+ `9 F  x  {" ?2 Q5 ]
<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
2 _9 i5 C! T( c. W# W. [    Deny from all
2 w- P- [6 z# N9 ?1 B+ |</Directory>
5 ~8 o! M) G& ?' f# \- |8 w3 L
上述代码实现了禁止所有用户访问www.leapsoul.cn下inc目录的功能。如要实现禁止访问所有目录中inc目录的功能，只要将
" ~: T8 ^* C- ?" B- r8 A7 H


# M* X+ e5 A& C( N  ]6 [<Directory /var/www/www.leapsoul.cn/inc>

/ u: W4 o1 Z4 r0 T- n- q) d更改为
) L9 F" q9 n! \" {


<Directory /var/www/www.leapsoul.cn/*/inc>

" {) ]; ~" a& t, S( k+ x即可。

3、重启Apache服务器。

0 U) O" T& ]$ \9 o8 z9 d3 ~其他说明

$ Y5 x6 q5 a0 ?- s) _; B: c7 @1、只允许或禁止某个域名进行目录访问
- U% P- |# k- o  l( C

6 M% L  f5 B! D0 w( f) e9 V" Z' H: g
<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
2 I) p' j& y7 w" D    Deny from abc.com
8 Q& i% M, a: ~) w8 ]' o- E8 D    Allow from apache.org
- |( t, U( Z5 r7 b* q! I: s4 `</Directory>

上述代码实现禁止abc.com域中主机访问inc目录，允许apache.org域中主机访问inc目录的功能。

. Y( ?, i, w! [( m3 D( |2、只允许或禁止某个IP进行目录访问


8 f( R1 P. K$ k1 f6 b1 f
<Directory /var/www/www.leapsoul.cn/inc>
$ q! A" M& [1 \+ R4 Q! F    Order Deny,Allow
* ?7 z5 A5 d+ Z/ D* T    Deny from 10.1.1.2
    Allow from 192.168.1.0/255.255.255.0
' G5 o% [5 [2 ^9 E* f0 ~: ^</Directory>
* N( A$ ?* o% N$ D( k; U3 N
上述代码实现禁止IP10.1.1.2访问www.leapsoul.cn/inc目录，允许IP192.168.1子网中的主机访问www.leapsoul.cn/inc目录的功能。
* q1 Q  G9 J; w5 F+ K' w
3 j, L" B0 @+ [. k/ D4 Y/ B注意：Allow from 192.168.1.0/255.255.255.0等同于Allow from 192.168.1或Allow from 192.168.1.0/24