我也推荐一下自用的安全方式，长随机字符串二级目录，可避免路径穿越

没啥用，古早时候也有设置管理后台的操作，现在都很少看到了。
另外 路径穿越是这个意思吗？

@ydhcui 你没看懂，另外，不知道二级目录肯定无法穿越

如果只考虑浏览器访问的话，确实是一种办法。但路径中有一坨随机字符串还是不太优雅，或许可以考虑用 nginx 的认证。

确实，俺也一样。

https 很关键，反向代理+二级目录访问。基本可以抵挡绝大多数大访问的盲目扫描及攻击。

@LnTrx 其实不需要一坨，随便搞个单词就可以了，99%都是盲扫一下就放弃的，剩下的 1%只会攻击更高价值的
就是不想加验证再登录一次，太麻烦了，还有再加一层验证 openlist 的 webdav 就更没法挂载了

要是加验证就干脆 vpn 回家了
我这个配置要的就是那种让你随便扫，但你什么也扫不出来的爽感

你还是太嫩了

楼主的意思打个比方意思就是 我的服务目录就是在/tmp/目录下，只要我在这个目录下，我就是安全的。
1: 半点不提你是服务运行的组建会不会产生漏洞
2: 半点不提你的服务有没使用三方开源组建是否存在漏洞
3: 半点不提你的服务器是否存在本身的隐患导致有入侵风险
4：服务路径和 https 有什么关联性？
5: 路径穿越真的是代码逻辑造成的，还是环境造成的？
6: 二级目录用 10 位+随机字符串，就能避免暴力破解、路径穿越这些攻击行为了（拿到权限，你所做的一切都是透明的，如果你理解拿到权限这个意思。）

@hackroad 网址子目录，不是文件系统目录，你也是一点没看懂就开喷，算了不说了

路径穿越用的是../../你随机目录防不住，至于放扫，你不是特定类型的系统没人扫你

@FrankAdler 就不能先用 AI 了解一下吗？路径穿越是服务的问题，不知道随机字符访问不到服务怎么穿越？凭个 443 端口就能穿越吗？

@FrankAdler OP 主的意思是，先不管后面的路径是什么，能不能穿透。首先你第一级的 path 必须是要指定字符串才能进来，相当于变相的加密码。

早就在用了，不过有些写死了页面路径的要从 location / 根目录获取页面的就用不了，这种我是用来做备用的。主用还是标准的子域名和 WAF 还有 IP 白名单用户认证来做的。

回楼上一些 v2er, 这里防御的路径穿越是指某个脚本输入参数中的路径穿越，和 web 服务器的路径穿越不一样。
/lib/file.php?path=../../../etc/passwd
/rAnd0mP4th/file.php?path=../../../etc/passwd

是上面这个区别。如果你都找不到./rAnd0mP4th 那么后面脚本的任何漏洞都很难被利用。


这个技巧在 asp 时代就常有人用，当时就算 accessDB 被 SQL 注入，脱裤，管理密码 md5 被破，然而找不到后台登不上去，还是传不了马....
当年我忘了是阿 D 还是明小子都有路径爆破功能。


还有改服务器 banner ，改版本,包括但不限于 web,ssh...
屏蔽指纹，有时候就算有漏洞 bot 也无法选中。比如 bot 写的是找 wordpress 几个版本，然后一旦找到对应版本就用对应 exploit.然后你直接把版本改成 999.999.它无法选定...

有些很有意思的小技巧可能是《 web 之困》里提到的？我十多年前读的了，记不清了。但是值得看看。