정보 노출을 통한 디렉토리 나열
설명
대상 웹 서버는 index.html
과 같은 인덱스 파일을 포함하지 않는 디렉토리의 내용을 나열하도록 구성되어 있습니다.
이로 인해 민감한 정보가 우연히 노출되거나, 공격자에게 파일 이름 및 디렉토리 구조와 저장 방식에 대한 세부 정보를 제공할 수 있습니다.
수정 사항
디렉토리 색인을 비활성화해야 합니다.
Apache:
Apache 기반 웹사이트의 경우, 모든 <Directory>
정의에 Options -Indexes
가 apache2.conf
또는 httpd.conf
구성 파일에 설정되어 있는지 확인하십시오.
NGINX:
NGINX 기반 웹사이트의 경우, 모든 location
정의에 autoindex off
지시어가 nginx.conf
파일에 설정되어 있는지 확인하십시오.
IIS:
IIS 기반 웹사이트 버전 7.0 이상에서는 applicationHost.config
또는 Web.config
파일에 <directoryBrowse enabled="false" />
요소를 사용할 수 있습니다.
기타 서버 유형의 경우, 디렉토리 색인을 비활성화하는 방법에 대해서는 제품 문서를 참조하십시오.
세부정보
ID | Aggregated | CWE | Type | Risk |
---|---|---|---|---|
548.1 | false | 548 | Passive | Low |