lnmpa中的htaccess轻微漏洞

smartweb · 发表于 2015-12-18 09:11:56

lnmpa经常收到安全警告说htaccess轻微漏洞，原来是htaccess能被下载。
补救方法：
每个ng网站的配置文件，在最后一个}之前添加以下代码
location ~ /\.ht {deny all;}
保存，启web服务，这样就可以了

licess · 发表于 2015-12-18 11:23:17

1.1之前的应该是有这个问题，1.2开始就已经禁止所有.开头的了

sandm · 发表于 2016-1-22 16:22:40

1.2默认是禁止的，可是还是可以下载

licess · 发表于 2016-1-22 17:34:53

3楼兄台给测试下载一下 http://104.251.225.213/.hello
3楼是用什么方法下载？

全新1.2默认安装，只创建了.hello

marry100 · 发表于 2016-1-25 22:27:16

确实有泄漏的可能，之前是可以打开的！我在阿里云上部署的，阿里云提示有泄漏风险

smartweb · 发表于 2016-1-26 09:34:25

已经用上1.3，测试过可以下载，打补丁吧

licess · 发表于 2016-1-26 10:43:56

自己在虚拟主机里添加上
      location ~ /\.
      {
         deny all;
      }

吧，原来的虚拟主机创建文件忘记加了这个

smartweb · 发表于 2016-1-26 20:45:27

看到有些资料介绍，ng判断客户端所用浏览器可以挡部分ddos

if ($http_user_agent ~* "MSIE 5.01") {return 500;}

		自动登录	找回密码
密码			注册

回复 2# 的帖子