Was Sie beschreiben, ist eine normale Verzeichnisliste.

An sich ist die Verzeichnisliste kein Sicherheitsproblem. Wenn die Sicherheit Ihres Systems beeinträchtigt wird, nachdem Sie die Struktur Ihrer Dateien und Verzeichnisse herausgefunden haben, verlassen Sie sich auf Sicherheit durch Dunkelheit, was schlecht ist. Beispiele für diese schlechte Vorgehensweise sind:

• Verwenden geheimer Verzeichnisnamen für den Zugriff auf vertrauliche Dateien.
• Einschränkung der ausführungsberechtigten Funktionen, um nur auf deren URLs zuzugreifen anstatt die richtigen Berechtigungen zu verwenden.
• Hinterlassen Sie spezielle Türen / Hintertüren für Entwickler.

Allerdings , als Teil einer guten Sicherheitsrichtlinie, danach Wenn Sie geeignete Sicherheitsmaßnahmen implementieren, ist es vorteilhaft, die funktionierenden Teile Ihres Systems zu verdecken. Je weniger Sie über Ihr System zeigen, desto weniger Informationen kann ein Angreifer über Sie erhalten, was bedeutet, dass Sie seine Arbeit erschweren.

"Also, was soll ich tun?" du fragst. Einfach: Deaktivieren Sie die Verzeichnisliste in Ihren Webserverkonfigurationen. In Apache gehen Sie zu Ihrer httpd.conf und suchen die Zeile mit der Aufschrift

 . Optionen einschließlich Indizes  

Entfernen Indiziert aus der Zeile und startet dann den Apache neu.

Um die Antworten von @adnan und @ william-calvin zu ergänzen:

Es kann ein Problem sein;)

1. Es werden Namen angezeigt von Dateien, auf die beispielsweise nur authentifizierte Benutzer zugreifen können (denken Sie an "change_settings.php" für angemeldete Benutzer). Nun ist dies an sich kein Problem. Wenn seine Website gut geschrieben ist, führt er vor dem Laden jeder Datei eine ordnungsgemäße Autorisierungsprüfung durch. Unter einem anderen Gesichtspunkt "ordnet" ein guter Crawler / Spider alle Dateien zu, auf die sowieso zugegriffen werden kann.

2. Wenn er mit Sicherungsdateien unordentlich ist (denken Sie an: secret.bak oder blah.php.old), dann können andere diese Dateien lesen. Dies gilt auch für schnelle phpinfo () - und db_dump.sql -Dateien.

3. Er kann Dateien einschließen, und Haben Sie diese mit einer Nicht-PHP-Erweiterung, wie z. B. db.inc, abhängig von Ihrem Apache-Setup, kann ein Angreifer diese möglicherweise lesen.

ol>

Also, wie von erklärt die anderen - es ist schlechte Praxis. Es gibt mehr Informationen als es sollte.

Ja. Dies ist definitiv ein Problem.

Wenn ich Ihre Struktur kenne, kann ich Ihr System besser verstehen, wodurch ich Ihr System leichter angreifen kann.

Es wird empfohlen, Ihre Verzeichnisliste zu deaktivieren (siehe dieses Tutorial, wenn Sie CPanel verwenden).

Je weniger Hacker wissen, desto schwieriger müssen sie nachdenken.

Um Adnans Antwort zu ergänzen, lösen einige PHP-Frameworks wie PyroCMS das Problem in Ihrer Frage, indem sie eine Kombination aus .htaccess -Dateien und einer Indexdatei mit dem Namen index verwenden .php in jedem Verzeichnis.

Eine .htaccess -Datei ist wie eine Erweiterung Ihrer Serverkonfiguration in Dateien wie php.config , kann jedoch direkt in die Site-Ordner aufgenommen werden, obwohl sie in bestimmten Fällen aufgrund der Serverdateien möglicherweise nicht zulässig sind oder nicht funktionieren. Sie können sie auch verwenden, wenn Sie keinen Zugriff auf die Serverdateien haben, z. B. wenn Sie irgendwo eine Site in der Cloud haben. Sie können verwendet werden, um den Zugriff auf Dateien in dem Verzeichnis, in dem sie sich befinden, oder in untergeordneten Ordnern zu beschränken. PyroCMS und andere Frameworks haben häufig eine htaccess -Datei in jedem einzelnen Ordner, von denen viele den Zugriff auf den Ordner und alle seine Unterordner einschränken oder verweigern.

index.php ist eine der Standardseiten, die angezeigt werden, wenn die URL auf den Ordner verweist. Sie können diese Standardseiten jedoch in Ihren Serverdateien konfigurieren. Wenn der Benutzer beispielsweise zu example.com/folder navigiert und sich keine dieser Standarddateien in diesem Verzeichnis befindet, wird auf der Seite angezeigt, was Ihr Freund wahrscheinlich sieht. Dies ist wahrscheinlich die Ansicht, die Adnan anzeigt in seiner Antwort. Wenn sich in diesem Ordner jedoch eine index.php -Datei befindet, wird auf der Seite stattdessen angezeigt, was sich in <site folder> / folder / index.php befindet. PHP-Frameworks haben häufig eine index.php in jedem oder fast jedem Ordner und Unterordner für Sie. Viele dieser Dateien haben so etwas wie:

  <div>Forbidden !!! < / div> <div>Bitte gehen Sie nicht hierher! Es ist sehr empfindlich! < / div>  

Da diese .htaccess - und index.php -Dateien bereits in all diesen Ordnern abgelegt sind, müssen Sie dies nicht selbst tun, obwohl Sie sie herausnehmen können wenn Sie Ihre Website anpassen möchten oder müssen. Auch wenn Sie diese Frameworks letztendlich nicht verwenden, kann es beim Entwerfen Ihrer Website hilfreich sein, ein paar herunterzuladen und zu sehen, was sie tun. Achten Sie jedoch darauf, da viele von ihnen Hunderte von Megabyte groß sind.

Übrigens, es ist eine schlechte Praxis, diese Dateien durchsuchbar zu machen. Der Punkt bei dieser Antwort ist, dass es Tools gibt, mit denen Sie verhindern können, dass Sie den Boilerplate-Code tausende Male wiederholen müssen, manchmal buchstäblich, und es kommt einfach so vor, dass die Themen in dieser Frage Boilerplate-Code beinhalten, bei dem diese Tools helfen können.

Ja, in Bezug auf die obigen Antworten möchte ich nicht dieselben Informationen weitergeben, sondern ein echtes Ereignis, das meiner Organisation passiert ist.

Wir hatten einen Webserver (Front-End, dessen Clients ihre sehen können Informationen zum Internetkonto, Aufladefähigkeit usw.)

Der Entwickler hat einen BigDump hochgeladen, um die Triple-A-Serverdaten zu sichern. Dabei hat ein Angreifer das Verzeichnis überprüft und eine Dump-Datei gefunden, die alle Rubbelkarten enthält und Kontoinformationen, hoffentlich hat er mir Bericht erstattet und wir haben dieses Problem gelöst.

Wie bereits erwähnt, habe ich für meine Organisation eine Richtlinie für diese Funktion erstellt, da ich mich auf Sicherheit durch Dunkelheit stütze und das Abhören von Verzeichnissen besser deaktiviere sollte auf allen Webservern deaktiviert sein.

Übrigens gibt es in Ubuntu keine httpd.conf (derzeit am 14.04. Suchen Sie nicht danach, Sie bearbeiten die Datei apache2.conf ).

Um Ihre PHP-gesteuerte Website vor den Script-Kiddies zu schützen, können Sie mein langes Tutorial zum Härten von WordPress lesen (ich habe einen Link zum Schutz des Urheberrechts bereitgestellt und wahrscheinlich wissen Sie mehr über unbekannte gefährdete Personen Punkte). WordPress ist nur ein Beispiel, tatsächlich ist der Inhalt auf jede PHP-MySQL- oder sogar PHP-gesteuerte Website anwendbar.

Zweitens, unabhängig von der ursprünglichen Frage; Der Linux-Kernel sollte ebenfalls gehärtet sein. Sie können meinen Kern sehen - https://gist.github.com/AbhishekGhosh/9407137

Normalerweise wird PHP nicht wie eine Textdatei im Browser geöffnet, sondern zeigt den Pfad an , name und gibt wahrscheinlich den Hinweis, dass der Serveradministrator nicht sehr erfahren ist und ihn anfälliger macht.

Versuchen Sie nicht, von der Ebene .htaccess aus zu steuern, sondern halten Sie .htaccess so hell wie möglich. Es befindet sich tatsächlich im öffentlichen Verzeichnis ...