php - 防止从 Acunetix 进行目录扫描

Question

我有一个启用 PHP 的站点，但目录列表已关闭。

但是，当我使用 Acunetix:(网络漏洞扫描软件)扫描我的网站和其他知名网站时，它能够列出所有目录和文件。

我不知道这是怎么回事，但我有这个理论:也许软件正在使用英文单词，试图通过尝试“include/”、“css/”、“/images”等名称来查看文件夹是否存在。然后，也许它能够以这种方式列出文件。

因为，如果目录列表关闭，我不知道还有什么可做的。

所以，我设计了这个计划，如果我给我的文件夹/文件起难的名字，比如 I3Nc_lude、11css11 等，软件可能很难找到这些名字。你怎么看？

我知道，我对此可能大错特错，这个想法可能很可笑，但这就是我寻求帮助的原因。

你怎么完全!禁止目录列表？？

Answer 1

确保站点根目录中的所有目录都有目录
列表已禁用。它通常在您设置时默认打开
新服务器。

假设您的网络服务器中的目录列表不是您的问题，
请记住，您网站中的所有资源:CSS 文件、JS
源，当然 HREF 可以很少或没有
努力(通常是几行 javascript)。没有办法
隐藏您引用的任何内容。这很可能是你
看到反射(reflect)在扫描中。

或者，如果您使用 SVN 或其他版本控制系统
部署您的站点，通常这些可用于确定
代码库中的每个文件。

人们在第一次创建站点时最常犯的错误可能是他们将所有文件都保存在 webroot 中，而弄清楚它们在哪里变得有些微不足道。

恕我直言，最好的方法是将您的代码放在 webroot 之外的单独目录中，然后根据需要加载它(这是大多数 MVC 框架的工作方式)。您可以完全控制哪些内容可以通过网络访问，哪些内容不能访问。您可以在一个目录中拥有 100 多个类，只要它们不在 webroot 中，即使启用了目录列表，也没有人能够看到它们。