关于阿里漏洞扫描laravel项目报出的风险

问答 / 5 / 3 / 创建于 4年前

Web 配置文件泄露
漏洞描述
多种框架为提供动态配置的功能，会生成 web.config、web.xml 等配置文件，当 HTTP 应用服务器配置错误时，会导致这些配置文件可以通过 URL 直接访问。

看了下，public 目录下生成了 web.config 文件；请问如何处理，才能规避这个风险报告呢？

不积跬步，无以至千里；不积小流，无以成江海

184 声望

轻微的技术极客追求者

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 27 / 19 |

如何打造令后端面试官印象深刻的简历？ 14 / 10 |

花了四个月打磨的 Laravel Plus 开源 30 / 98 |

冯老师的困惑 —— 一个跑了两年的 BUG 19 / 16 |

试用 Laravel + 树莓派搭建视频监控，并支持线上访问 26 / 19 |

在laravel下实现全双工的websocket开发 21 / 8 |

pikalu

184 声望

最佳答案

nginx 层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

4年前评论

讨论数量: 3

Epona

版主 1.8k 声望 / Full Stack Developer @ Poper

讲道理，public 下正常是不会有 config.php 的，不知道你怎么出现了

4年前评论

pikalu （楼主）

是 web.config

pikalu

184 声望

nginx 层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

4年前评论

hiword

205 声望

直接删除就好了，这个好像是 iis 下才用得到的，包括.htaccess 文件，如果 Nginx 不开启支持.htaccess 配置，这个也是没用的，或者像楼上说的在 nginx 中增加配置

4年前评论

pikalu （楼主）

楼上就是我自己哈哈

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助