web-dev-qa-db-ja.com

「.htaccess」ファイルがダウンロードできます。どうして?直し方?

多分noobの質問です。検索を試しましたが、検索キーワードが具体的すぎる可能性があります。

クライアントのサイトでペンテストを実施しました。このサイトでは、.htaccessが保存されているディレクトリを参照するだけで.htaccessをダウンロードできました。 www.example.com/dir/.htaccess

これは何が原因で、どのように修正できますか?

21
Rob

問題のWebサーバーのタイプによって異なります。 Apacheの場合、設定ファイル(通常は「メイン」のApache.conf)に次のようなものが含まれているはずです。

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

欠落している場合は、説明した問題が発生する可能性があります。

これの他の典型的な原因は、クライアントが過去にApacheを使用していたが、.htaccessを使用せず、特別な方法でそれを処理しない別のもの(nginxなど)に切り替えたことです。この場合の解決策はWebサーバー固有ですが、通常は「.ht」で始まるファイルへのアクセスを制限することになります。または、実際に使用されていない場合は、単に削除することもできます。

29
eax