一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。
例如下图:
Config.json文件是系统的配置文件,可以查看上传文件的目录以及允许上传的格式,造成服务器信息泄露。有利于进一步攻击。
设置访问控制权限。
例如本项目 Web项目前后端分离,前端静态不包含权限,采取了以下措施
.config .json备份文件等
增加对应文件名称
验证, 再次请求,将返回404页。这就证明了请求筛选规则是起作用的
双击“请求筛选”进入“请求筛选”界面。可以看到有多种设置请求筛选的方式,其中设置文件扩展名是比较常用的。iis中已经默认限制了一些扩展名的请求。
如果有特别的需要,某些文件是允许外部访问的,也可以设置“文件扩展名”为允许访问。方法是,如在“请求筛选”界面上的右侧的操作面板中,点击“允许文件扩展名……”,在弹出窗口中填写要限制的扩展名,然后点击确定即可。
~其他容器部署原理类似
配置IIS筛选请求 ,实际上是保存到了Web.config文件,会重启服务,可能会影响线上用户使用,注意配置使用时机。
PNG