Forse una domanda noob. Ho provato a cercare ma forse i miei termini di ricerca erano troppo specifici.
Ho appena condotto un pen test sul sito di un cliente. Il sito mi ha permesso di scaricare .htaccess semplicemente sfogliando semplicemente la directory in cui è stato memorizzato; www.example.com/dir/.htaccess
Che cosa causa questo e come può essere risolto?
Dipende dal tipo di server web in questione. Se è apache, dovrebbe contenere qualcosa di simile nel file di configurazione (di solito nel file "main" apache.conf):
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy all
</Files>
Se manca, ciò può causare il problema che hai descritto.
L'altra causa tipica di questo è che il client ha usato apache in passato, ma è passato a qualcos'altro (ad es. nginx) che non usa .htaccess e quindi non lo tratta in modo speciale. La soluzione in questo caso è specifica del server web, ma in genere si riduce a limitare l'accesso ai file che iniziano con ".ht" oppure, se non sono realmente utilizzati, puoi semplicemente eliminarli.
Leggi altre domande sui tag webserver web-application