firebase-hosting - Firebase 托管:远程 Web 服务器托管可能是可公开访问的 .bash_history 文件
问题描述
我们在 firebase 上托管我们的网站。由于以下原因,我们未能通过安全检查:
远程 Web 服务器托管公开可用的文件,其内容可能指示典型的 bash 历史记录。此类文件可能包含不应向公众披露的敏感信息。
远程服务器上提供以下 .bash_history 文件: - /.bash_history 注意,此文件被标记是因为您已将扫描设置为“偏执狂”。检测到的文件的内容尚未经过检查,以查看它是否包含人们可能期望在典型的 .bash_history 文件中看到的任何常见 Linux 命令。- /cgi-bin/.bash_history 注意,这个文件被标记是因为你已经将你的扫描设置为'Paranoid'。检测到的文件的内容尚未经过检查,以查看它是否包含人们可能期望在典型的 .bash_history 文件中看到的任何常见 Linux 命令。- /scripts/.bash_history 注意,该文件被标记是因为您已将扫描设置为“偏执狂”。
问题是我们没有简单的方法来访问主机并删除这些文件。
有人知道如何解决吗?
解决方案
如果您使用 Firebase 托管,您应该检查public您通过firebase deploy命令上传的目录(通常是 )。__/主机只提供这些文件(加上自动配置的保留路径下的几个自动生成的文件)。
如果您有一个.bash_history,cgi-bin/.bash_history或scripts/.bash_history在该公共目录中,那么它将被上传到 Hosting 并由 Hosting 提供服务。没有具有这些名称的自动提供的文件。
您可以检查您的公共目录,并使用 firebase.json 文件更新要在下次部署时忽略的文件列表(请参阅此文档)。您还可以使用此脚本下载 Firebase Hosting 为您提供的所有文件。
推荐阅读
- python - 如何在浏览器上打开“另存为”弹出窗口,同时使用谷歌云存储 api doawnoald 文件
- java - Python 输出未显示在 jar 文件中
- php - 如何使用变量运行带有 WHERE LIMIT 的 sql 查询
- qt - CMake-qt:包括来自同级项目的自动生成文件。怎么做才对?
- php - 为什么使用 CSS 无法正确显示图像?
- python - 从单应矩阵计算基本矩阵
- php - PHP-DI 使用先前定义的类
- python - 使用 scrapy 获取部分数据抓取站点,而相同的 url 让我从 shell 获取完整结果
- postgresql - 选择 where 条件 if 存在 else 其他条件限制 X
- osgi - AEM 6.4.x/OSGI/Servlet:如何从 servlet 访问 OSGI 服务?