网站目录中敏感文件被嗅探扫描下载,扫描出某个网站目录中都有哪些文件?网站安全问题如何防范?

用什么办法可以知道某个网站的目录中都有哪些文件的存在,能不能扫描出所有存在的文件名什么的?有什么好工具推荐吗?这是网站上经常看见提问的帖子,目的是什么?那就是有人盯上你的网站了。

网站目录中敏感文件被嗅探扫描下载,扫描出某个网站目录中都有哪些文件?网站安全问题如何防范? 网站建设教程 第1张

很多刚刚开始学会做网站的站长习惯随手把备份或者安装文件随时丢在网站目录中,这样会造成源码或数据库泄漏,严重还会被黑客嗅探到漏洞整站劫持,资源下载网教大家简单设置防止压缩包等文件被嗅探扫描下载,当然我发现一些不是小白的大佬也会犯这种错误!

NGINX的解决方案

直接在网站配置文件或NGINX配置文件的server的最后一个括号内加入以下代码:

 location ~* .(ini|docx|doc|rar|tar|gz|zip|log)$ {
        deny all;
    }

网站目录中敏感文件被嗅探扫描下载,扫描出某个网站目录中都有哪些文件?网站安全问题如何防范? 网站建设教程 第2张

APACHE的解决方案

直接在网站配置文件</VirtualHost>内或修改apache配置httpd.conf,在最后加上配置后,重启apache

<Files ~ ".txt|.log|.zip|.gz|.rar|.sql">
    Order allow,deny 
    Deny from all 
</Files>

加上后,再访问网站中的压缩包文件,看看效果,无法下载则说明生效成功