24、保障Web应用安全：应对策略与最佳实践

保障Web应用安全：应对策略与最佳实践

1. 恶意目录遍历的应对措施

恶意目录遍历可能导致文件被篡改，可采取以下两种主要对策：
- 文件存储策略 ：不要在Web服务器上存储旧的、敏感或非公开的文件。/htdocs或DocumentRoot文件夹中应仅包含网站正常运行所需的文件，且这些文件不应包含不想被外界看到的机密信息。
- 服务器配置 ：确保Web服务器配置正确，仅允许公众访问网站正常运行所需的目录。关键在于提供最小必要权限，仅允许访问Web应用程序正常运行所需的最少文件和目录。

不同Web服务器的访问控制设置方式如下：
| Web服务器 | 访问控制设置位置 | 更多信息 |
| — | — | — |
| Apache | httpd.conf文件和.htaccess文件 | httpd.apache.org/docs/configuring.html |
| IIS 5.1 | Internet Information Services Manager的Home Directory和Directory设置 | - |
| IIS 6.0 | Internet Information Services Manager的Home Directory和Virtual Directory设置 | - |

同时，建议运行最新版本的Web服务器，以获得更好的目录安全性：
- Apache：可在httpd.apache.org查看最新版本。
- IIS（适用于Windows Server 2003）：最新版本是6.0。 <