什么是强制浏览?
强制浏览是一种网络攻击,攻击者试图访问网站不想公开的目录、文件或其他资源。 攻击者不需要浏览公共页面和链接,而是直接在浏览器的地址栏中输入 URL 来探测服务器上的隐藏文件或目录。 识别非公共路径的常用方法包括:
目录列表
如果启用了 Web 服务器的目录索引功能,则指定目录的 URL 可以显示其中的文件列表。 如果敏感文件位于这些目录中,攻击者可以轻松识别其名称。
HTML 文件注释
HTML 代码中嵌入的注释可能会无意中泄露非公开资源的路径。
URL 猜测
通过检查目录列表或 HTML 注释中的信息,攻击者可以推断出网站的命名约定。 然后他们可以使用这些模式来推测其他目录中非公开文件的名称。
为了防止强制浏览攻击:
此外,实施 Web应用防火墙 (WAF) 可以有效缓解此类攻击。 F5 提供F5 BIG-IP,它集成了强大的 WAF 功能,以防止强制浏览和其他网络威胁。