缺陷标题 crackme网站存在暴露目录列表、源代码可自由下载问题。

测试平台与浏览器 Windows 7+Firefox或Chrome。

测试步骤

（1）打开crackme网站http://crackme.cenzic.com/。

（2）单击左边导航条中的Not a Member链接，进入注册页面，URL为http://crackme.cenzic.com/kelev/register/register.php。

（3）删除register.php，直接访问URL http://crackme.cenzic.com/kelev/register/。

（4）观察页面元素。

期望结果 不显示目录列表信息。

实际结果 显示目录列表信息，并且register.php源代码可以下载，如图1-29所示。

专家点评

Apache默认如果在当前目录下没有index.html入口就会显示网站根目录，让网站目录文件暴露在外面，这是一件非常危险的事。例如，可能导致数据库密码泄露、隐藏页面暴露、网站所有源码能被下载等严重安全问题。

通过以下操作，可以禁止显示Apache网站根目录。

进入Apache的配置文件httpd.conf，找到以下语句

将其修改为以下语句

修改后结果如下。

其实就是将Indexes去掉。Indexes表示若当前目录下没有index.html则会显示目录结构。

重启Apache服务器，/etc/init.d/httpd restart更改生效。

建议默认情况下，设置Apache禁止用户浏览目录内容。 Sg6hpVaiW94fSlQMmgyeyWEMvaq9eKHAHwou32DpKYcZcVIZoYDbdjTkOZerupEk