Directory indexing

웹 어플리케이션을 제공하는 서버의 설정이 미흡할경우,(인덱싱 기능이 활성화 되있을 경우)

공격자가 서버내의 모든 디렉토리와 파일에대해 인덱싱이 가능해진다.

 

directory indexing checklist

 

예시

ex)

/icons/

/images/

/pr/

/adm

/files

/files/

/download

 

해결방안

apache의 경우 Httpd.conf 파일에서 DocumentRoot항목의 Options에서 Indexes를 비활성화 시킨다.

IIS 설정-제어판-관리도구-인터넷서비스관리자 에서 등록정보의 홈디레토리 탭에서 체크를 해제한다.

 

apache에서 만약 일부 폴더에만 리스팅을 허용하고싶다면...

새롭게 설정을 만들면된다.

 

<Directory /var/www/html/test123>

         Options Indexes FollowSymLinks

         AllowOverride None

         Require all granted

</Directory>