Wyłącza katalogi z 404 zamiast 403

9

Wyłączyłem takie katalogi ...

Options -Indexes

Kiedy próbuję uzyskać dostęp do takiego katalogu: -

www.example.com/secret/

Otrzymuję 403 zabronioną odpowiedź.

Chcę jednak odpowiedzi 404 , więc hakerzy nie mogą tak łatwo odgadnąć mojej struktury katalogów. Jak mam to zrobić?

apache-2.2 security directoryindex

— Rik Heywood
źródło

en.wikipedia.org/wiki/Security_through_obscurity

— ThatGraemeGuy

Zdaję sobie z tego sprawę, ale nie ma sensu dla nikogo ułatwiać, zwłaszcza, że tak trudny wysiłek jest trudniejszy.

— Rik Heywood

8

Włącz mod_rewrite i AllowOverride w / secret. Następnie utwórz .htaccess:

RewriteEngine On
RewriteBase   /secret
RewriteRule   ^$ - [R=404,L]

— ooshro
źródło

3

Szukałem w Internecie odpowiedzi na podobny problem. Chociaż mod_rewrite jest możliwym rozwiązaniem, uważam, że najlepsze rozwiązanie wykorzystuje dyrektywę „RedirectMatch”.

Zobacz StackOverflow: Problem z przekierowaniem 403 Zabroniony do 404 nie znaleziono

— Kevin
źródło

1

Utwórz niestandardowy skrypt 403, który zamiast tego zwraca błąd 404.

Na przykład w PHP:

<?php
header("HTTP/1.0 404 Not Found");
die("<h1>404 Not Found</h1>");
?>

Teraz skonfiguruj Apache, aby używał tego skryptu dla wyników 403:

ErrorDocument 403 /403.php

Brak bałaganu dzięki przepisywaniu i natychmiast działa na całym serwerze.

— Gerald Schneider
źródło

Czy to nadal nie wyświetla się jako 403 dla osób zgarniających serwer?

— IRGeekSauce,

1

Nie. Serwer odpowie prawidłowym błędem 404 z powodu header()polecenia.

— Gerald Schneider

-1, ponieważ niestandardowy komunikat o błędzie może być! = Komunikat o błędzie serwera (czy to nging, apache czy cokolwiek innego). To ostatnie rozwiązanie, jeśli nie ma możliwości skonfigurowania serwera lub korzystania z plików .htaccess. Dodatkowo to rozwiązanie nie uniemożliwi Ci DirBustering twojej witryny, ponieważ nadal możesz odróżnić takie „niestandardowe komunikaty o błędach” od komunikatów o błędach serwera.

— Awaaaaarghhh

0

Moje rozwiązanie, aby przestać wyświetlać zawartość katalogu jako listę i wyświetlić błąd 404, jest proste. Utwórz plik .htaccess w katalogu głównym swojego projektu i zapisz, które katalogi powinny być chronione.

Struktura katalogów

- your_root_directory
  - .htaccess
  - 404.html
  - index.html 
  - app
    - other files I do not want to show
  - models
    - other files I do not want to show

.htaccess

RewriteEngine On
RewriteRule   ^app/ - [R=404,L]
RewriteRule   ^models/ - [R=404,L]

ErrorDocument 404 /your_root_directory/404.html

Drugi wiersz .htaccess zabrania dostępu do elementów listy w katalogu aplikacji i wszystkich jej podrzędnych.

Trzeci wiersz .htaccess zabrania dostępu do elementów listy w katalogu modeli i wszystkich jego podrzędnych.

Czwarty wiersz .htaccess ustawia własny błąd 404 (jeśli nie chcesz wyświetlać domyślnego błędu apache).

Pamiętaj, aby wyczyścić pamięć podręczną w przeglądarce podczas pracy z htaccess.

— Bez nazwy
źródło

-2

Użyj .htaccess, aby zamaskować błędy. Zobacz ten przewodnik:

http://www.tarahost.net/pages/web-design/29371.php

— ed209
źródło

3

Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik. Ten link jest teraz martwy, a zatem ta odpowiedź jest teraz bezużyteczna

— Mark Henderson