2
因此,我決定嘗試打破我的網站...我通過在網站上輸入網址來搜索我的網站:mysite.com/whatever並注意,所有用戶上傳的文件都可以在特定目錄下查看。Coldfusion安全問題...如何隱藏文件目錄?
我應該用什麼樣的腳本/對策來阻止這些文件被查看?我已經有一個腳本來檢查路徑和登錄狀態,但是這似乎不起作用。我已經找遍了所有的解決方案......但我找不到一個解決方案。我正在使用ColdFusion 8.
A
回答
6
這不是一個ColdFusion問題,而是一個Web服務器配置問題。
您應該:
配置Web服務器不使用一個URL沒有文件名(如,
http://www.example.com/files/)下降時顯示文件的目錄一個空白的默認網頁文檔(index.html,index.htm,default.htm,index.cfm,無論)到該目錄中,以便它顯示該文檔而不是文件列表。如果您使用index.cfm,它會在您的文件路徑中激發您的Application.cfm/cfc,並使用您創建的任何其他安全性。
(或更好,一舉兩得)
6
,以確保您的文件列表和自己是將它們存儲在另一個文件夾中的網站根目錄文件夾之外的文件的最好方法。然後您可以使用CFDIRECTORY和CFCONTENT來提供它們。顯示文件的頁面可以檢查您的訪問控制,並只將文件提供給允許查看它們的人員。
+2
再加上一個事實,即如果您的網站根源於源代碼管理,您不擔心擦除上傳的文件,如果您重新部署您的網站。 – 2011-06-01 18:09:22
相關問題
- 1. 安全問題關於隱藏字段
- 2. Proftpd完全隱藏目錄
- 3. C#:隱藏文件安全選項卡
- 4. 大量的文件策略有目錄遍歷安全問題?
- 5. 鬆散的目錄/文件權限:陷阱,安全問題?
- 6. 在UNIX中隱藏文件或目錄
- 7. 如何讓隱藏領域安全?
- 8. 在Swing JTree中隱藏文件和隱藏的目錄
- 9. 如何隱藏.git項目目錄?
- 10. html登錄安全問題
- 11. 最佳實踐 - 隱藏數據網格列的安全問題
- 12. ColdFusion文件上傳問題
- 13. 如何知道文件/目錄是否隱藏在編程C
- 14. 如何刪除隱藏目錄中的文件?
- 15. 如何在tmux-sidebar目錄樹中隱藏二進制文件?
- 16. 如何使用C隱藏目錄中的所有文件?
- 17. 我該如何隱藏esb_home目錄中的password_persist txt文件?
- 18. 如何從目錄中的列表中隱藏文件
- 19. 如何使文件真正隱藏在目錄中?
- 20. 如何隱藏www目錄中的文件
- 21. 如何使安全和隱藏.java文件從反編譯APK文件。
- 22. Mod_Rewrite隱藏目錄
- 23. ElFinder +隱藏目錄
- 24. 隱藏URL目錄
- 25. Linq安全 - 隱藏列
- 26. 文件目錄問題?
- 27. MHTML(.mht)文件存在哪些安全/隱私問題?
- 28. 存儲安全文件的目錄
- 29. ColdFusion安全
- 30. WS安全Coldfusion
這就是所謂的目錄瀏覽,你應該關閉它在IIS或Apache取決於你的網絡服務器。 – 2011-06-01 15:31:02
實際上,因爲其他Web服務從我的Web目錄文件中提取...我不能要求登錄文件,但我想這不重要,因爲無論如何這些文件都是公開的。 – Bri 2011-06-01 18:05:39
如果文件是公開的,爲什麼要隱藏它們?搜索引擎找到你的文件是一個功能!這聽起來確實不像安全問題。 – bpanulla 2011-06-01 19:59:04