-
Directory indexingSecurity/Web보안 2020. 8. 1. 15:50
웹 어플리케이션을 제공하는 서버의 설정이 미흡할경우,(인덱싱 기능이 활성화 되있을 경우)
공격자가 서버내의 모든 디렉토리와 파일에대해 인덱싱이 가능해진다.
directory indexing checklist
예시
ex)
/icons/
/images/
/pr/
/adm
/files
/files/
/download
해결방안
apache의 경우 Httpd.conf 파일에서 DocumentRoot항목의 Options에서 Indexes를 비활성화 시킨다.
IIS 설정-제어판-관리도구-인터넷서비스관리자 에서 등록정보의 홈디레토리 탭에서 체크를 해제한다.
apache에서 만약 일부 폴더에만 리스팅을 허용하고싶다면...
새롭게 설정을 만들면된다.
<Directory /var/www/html/test123>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
'Security > Web보안' 카테고리의 다른 글
Loose comparison, Magic Hash (0) 2020.08.04 Local File Inclusion (0) 2020.08.02 Command injection (0) 2020.08.01