关于默认页面、关于目录浏览

　　博客上一篇 [招商银行-快乐E购：无默认文档/未禁止目录浏览/备份文件随意下载] 提到无默认文档、未禁止目录浏览，下面说说这两个有什么危害：

　　无默认文档：网站其实是放在一个文件夹里面的文件，我们访问的时候以WEB形式返回给我们，比如一个网站有如下目录和文件：

999/
Css/
English/
a.jpg
anquandengji.htm
b.jpg
index.htm
beifen.htm
binyang/
browseCount.htm
bumendianhua.htm
bus.htm

　　一般而言，我们输入 www.youxia.org 就会返回一个文档给我们，就是这个网站的默认文档，这里的例子是index.htm，如果没有呢？一般有两种情况：　　

　　如果允许目录浏览：就直接返回上面的目录
　　如果禁止目录浏览：就返回一个错误提示页

　　下面看看第一种，允许目录浏览：


　　下面看看第二种，禁止目录浏览：


　　我们看到，第二种其实比第一种安全的多。因为有时候你做个文件备份或上传一些私密文件，当允许目录浏览并且没有默认文档的情况下，网站的访问者都可以打开、下载！我们看一个活生生的例子，这两个图，都是因为上面的问题造成的：没有禁止目录浏览、没有默认文档。


　　某政府网站，明显是公务员招考记录……好像不适合公开吧？但是大家都可以随意下载！


　　某企业网站，明摆着是各大微博的帐号和马甲……还有密码，不过游侠仅仅是为了完成本文，并没窥探的喜好，所以无视。

　　和一些朋友聊天，说一般.gov.cn和.edu.cn（政府、教育）网站多见这类问题，实际上游侠测试了下也发现的确如此，只要在搜索引擎敲上几个字符就可以出来……

　　还是那句话：你们压根没把隐私当回事，也有的也没把自己的隐私当回事。

PS:
　　本想写下怎么让网站管理员自查有无此类问题的，不过想到同时也是教别人为非作歹的方法，算了，不写了……你知道这样配置不安全就是了。只告诉你结果，过程麽——管理员自己去看配置吧，配置下也就分钟的事情。

作者：张百川（网路游侠）
网站：http://www.youxia.org
　　　转载请注明来源！谢谢合作。