정보 노출을 통한 디렉토리 나열

설명

대상 웹 서버는 index.html과 같은 인덱스 파일을 포함하지 않는 디렉토리의 내용을 나열하도록 구성되어 있습니다.

이로 인해 민감한 정보가 우연히 노출되거나, 공격자에게 파일 이름 및 디렉토리 구조와 저장 방식에 대한 세부 정보를 제공할 수 있습니다.

수정 사항

디렉토리 색인을 비활성화해야 합니다.

Apache:
Apache 기반 웹사이트의 경우, 모든 <Directory> 정의에 Options -Indexesapache2.conf 또는 httpd.conf 구성 파일에 설정되어 있는지 확인하십시오.

NGINX:
NGINX 기반 웹사이트의 경우, 모든 location 정의에 autoindex off 지시어가 nginx.conf 파일에 설정되어 있는지 확인하십시오.

IIS:
IIS 기반 웹사이트 버전 7.0 이상에서는 applicationHost.config 또는 Web.config 파일에 <directoryBrowse enabled="false" /> 요소를 사용할 수 있습니다.

기타 서버 유형의 경우, 디렉토리 색인을 비활성화하는 방법에 대해서는 제품 문서를 참조하십시오.

세부정보

ID Aggregated CWE Type Risk
548.1 false 548 Passive Low

링크