PHP создает 404 для скрытого каталога

Question

В настоящее время я занимаюсь разработкой веб-приложения и пытаюсь скрыть некоторые базовые имена каталогов (например, libs), чтобы они не выдавали других пользователей, ищущих уязвимости в приложении.

Я считаю, что лучше всегосделать это - сделать это;

<?php
    header("HTTP/1.0 404 Not Found");
?>

<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache/2.4.29 (Ubuntu) Server at 178.128.93.102 Port 80</address>

<?php
    die();
?>

в файле index.php в каталоге.

Это показывает правильную информацию на странице, и я предполагаю, что то же самое длялюбые инструменты, в которых проверяются действительные каталоги с учетом заголовка 404. Однако, если смотреть вручную, URL корректируется от http://localhost/libs до http://localhost/libs/. Это указывает на то, что каталог действительно существует, следовательно, добавлен '/'. Истинный 404 не добавляет '/', поскольку сервер не будет знать, указывает ли текст файл или каталог.

Есть ли способ показать 404 без исправления этого '/«? Это может быть совершенно чрезмерно, но лучше, чем потом сожалеть.

Answer 1

Реальный вопрос: что вам действительно нужно? Притвориться, что ваш каталог / libs не существует? Или не дать людям увидеть, что внутри?

Если вы действительно хотите, чтобы люди не видели ваши либ, вам не следует беспокоиться о проблеме с косой чертой. Лучшее решение для меня - использовать конфигурацию вашего сервера, если Apache сделает это:

<Directory /path/to/your/libs>
  Options -Indexes
</Directory>

НО

Скрытие ваших библиотек никогда не будет означать, что вам не нужно обновлятьих для исправлений безопасности.

Самый важный для меня момент: если вы не доверяете ни одной из этих библиотек и считаете, что они могут содержать так много уязвимостей, вы должны их скрыть: БРОСАЙТЕ ЭТО и используйте другой!