多分noobの質問です。検索を試しましたが、検索キーワードが具体的すぎる可能性があります。
クライアントのサイトでペンテストを実施しました。このサイトでは、.htaccessが保存されているディレクトリを参照するだけで.htaccessをダウンロードできました。 www.example.com/dir/.htaccess
これは何が原因で、どのように修正できますか?
問題のWebサーバーのタイプによって異なります。 Apacheの場合、設定ファイル(通常は「メイン」のApache.conf)に次のようなものが含まれているはずです。
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy all
</Files>
欠落している場合は、説明した問題が発生する可能性があります。
これの他の典型的な原因は、クライアントが過去にApacheを使用していたが、.htaccessを使用せず、特別な方法でそれを処理しない別のもの(nginxなど)に切り替えたことです。この場合の解決策はWebサーバー固有ですが、通常は「.ht」で始まるファイルへのアクセスを制限することになります。または、実際に使用されていない場合は、単に削除することもできます。