디렉터리 디렉터리 표시를 통한 정보 노출
설명
대상 웹 서버는 index.html과 같은 인덱스 파일이 없는 디렉터리의 내용을 나열하도록 구성되어 있습니다. 이는 민감한 정보의 우연한 노출로 이어질 수 있거나 공격자에게 파일명 및 디렉터리 구조 및 저장 방법에 대한 세부 정보를 제공할 수 있습니다.
조치
디렉터리 색인을 비활성화해야 합니다.
Apache:
Apache 기반 웹 사이트의 경우, apache2.conf 또는 httpd.conf 구성 파일에서 모든 <Directory> 정의에 Options -Indexes가 구성되어 있는지 확인하십시오.
NGINX:
NGINX 기반의 웹 사이트의 경우, nginx.conf 파일에서 모든 location 정의에 autoindex off 지시문이 설정되어 있는지 확인하십시오.
IIS:
IIS 기반 웹 사이트의 경우 7.0 이상 버전에서는 applicationHost.config 또는 Web.config 파일에서 <directoryBrowse enabled="false" /> 요소를 사용할 수 있습니다.
기타 모든 서버 유형의 경우, 디렉터리 색인을 비활성화하는 방법에 대한 제품 설명서를 참조하십시오.
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 548.1 | false | 548 | Passive | Low |
도움말