¿Es posible listar carpetas desde mi servidor web si tengo un index.html vacío en la carpeta raíz?

Navega tus respuestas
2

Tengo un pequeño servidor web de mangosta instalado en mi máquina. Tengo un index.html vacío en el directorio raíz.

Quiero poder compartir el enlace con las personas que conozco, creando una carpeta con este aspecto: 0gzzfiz4pf80mn8dw1k3

Entonces, mi amigo iría a www.mysite.com/0gzzfiz4pf80mn8dw1k3 y podría descargar los archivos que he puesto en esta carpeta.

¿Es esta una forma segura de compartir archivos?

Comprendo que alguien podría escuchar, pero lo que no quiero es que la gente navegue por www.misitio.com y pueda obtener una lista de esas carpetas especiales que he creado.

EDITAR:

Bien, entonces debes desactivar el listado de directorios y crearé un archivo index.html en esa carpeta que redirija al archivo real que quiero compartir con ellos. Soy consciente del problema MITM, no es realmente mi preocupación aquí.

Si desactivo el listado de directorios, ¿hay alguna otra manera que no sea la fuerza bruta para encontrar mi carpeta 0gzzfiz4pf80mn8dw1k3?

    
pregunta Benoit Bourgault 31.01.2013 - 17:45
fuente

3 respuestas

3

Puede deshabilitar la lista de directorios en Mongoose usando lo siguiente: 

./mongoose -d no      [ Runtime ]
d    no               [ Config File ]

Pero ¿por qué no protege con contraseña el directorio con un archivo .htaccess ? 

./mongoose -A ./.htpasswd localhost admin pass

Aún sería susceptible a un ataque MITM, así que use esto con SSL. Si bien este puede ser un servidor web simple y liviano, algo como un Apache completo será mucho más resistente frente a las vulnerabilidades.

    
respondido por el aus 31.01.2013 - 18:06
fuente
3

El primer párrafo de la respuesta de AJHenderson es ligeramente engañosa. Parece sugerir que depende del navegador negarse a ver el archivo predeterminado y, en cambio, obtener una lista de directorios.

  

Si es un archivo predeterminado, terminará mostrando de forma predeterminada en    la mayoría de los navegadores

Eso es incorrecto. No hay un navegador que pueda forzar al servidor web a listar el contenido del directorio si el directorio está configurado para servir una página predeterminada

Usted no tiene que configurar explícitamente su servidor web para evitar la inclusión de directorios. Basta con configurarlo para buscar archivos predeterminados (generalmente index.html , index.php , default.html ..) y servirlos.

En HTTP no hay ninguna solicitud Show me teh directoryz plz . Si el servidor web está configurado para servir los archivos index.html por defecto, no hay manera *, AFAIK, de enumerar los archivos en el directorio en el que existe index.html .

Aparte de eso, ambas respuestas ofrecen excelentes consejos de seguridad.

*** Excluyendo errores en el servidor web o los rastreadores brute-force / dictionary, como IntelliTamper .

    
respondido por el Adi 01.02.2013 - 18:12
fuente
1

Solo para aclarar la respuesta de aus. No, simplemente poner un archivo de índice no es suficiente para impedir la búsqueda en el directorio. Si es un archivo predeterminado, entonces se mostrará de forma predeterminada en la mayoría de los navegadores, pero es necesario que deshabilite la búsqueda en el directorio como se mencionó anteriormente. Además, deshabilitar la búsqueda en el directorio evitará que sus amigos accedan a la carpeta a menos que haya activado la búsqueda en el directorio de esa carpeta en particular.

El acceso protegido por contraseña o la configuración de FTP es la forma ideal de manejar esta situación. También querrá usar SSL (incluso si solo es un certificado autofirmado) para proteger la conexión. Si se autofirma, dará una advertencia cuando sus amigos intenten acceder a ella, pero podrán verificar que la huella digital es la clave de su servidor y luego confiar manualmente en el certificado para evitar advertencias en el futuro.

    
respondido por el AJ Henderson 31.01.2013 - 18:43
fuente

Lea otras preguntas en las etiquetas

Mejores prácticas para asegurar una API de estructura desconocida que pueda provenir del dispositivo o servidor del usuario final [cerrado] ¿Cuál es la forma segura de cambiar los permisos de UNIX en un archivo codificado a menudo?