WooYun.org

这玩意儿原理是啥啊 不是应该有默认禁止这个目录的访问啊？

@xsser ...，管理员你太不认真了，哥发了那么多，前面还有文章说明（http://hi.baidu.com/shine%5F%C9%C1%C1%E9/blog/item/7d7d57445f523a4384352468.html） 主要是配置错误造成的（就Nginx、Apache来看，主要是开启了目录浏览（目录浏览就不说了）以及还有如：Nginx + Tomcat 在正常使用反向代理时，去映射虚拟目录时，如：使用root，配置的人可能是因为麻烦，就映射整个项目，就包含了css、js、images等所有目录，这样方便点，但这样就能访问到WEB-INF目录下的敏感信息了（请注意，这样就能通过Nginx自身，而不是交给Tomcat去访问WEB-INF目录里面的某些类型文件了）），上面可能是Nginx最常见的错误配置了，造成这个问题的原因有很多种，因为Nginx本身在做反向代理、集群等配置就很灵活，容易出现这样的错误（所以在配置时，要做统一配置规范，不然，一不注意就会出现这样的问题）。 而大的原理就是：一个规范的敏感信息如何在并入到另一个规范中时得到绝对有效的保护（如果你理解了这个，同时你又接触了很多种产品，特别是搭配使用产品时，你可能还会发现更多漏洞）！ 解答需支付10wb，谢谢！哈哈！（另外，是要哥再发个该漏洞的专题或集锦吗？目前测试来看，基本所有大公司都出现了这个问题！哎！哥发了那么多了，他们也不自查一下！）

@shine 来一个集锦吧... 另外，你这文章很赞啊，可以转发到zone里的linux运维安全里 ：）

@shine 另外，我此前一直认为分层的结构会更安全，因为nginx理当只负责静态的解析，那么服务器上就不应该存有私有的数据，但是不清楚为什么会到同一台服务器上

@xsser 负载均衡的时候很多人都没有注意目录安全。