디렉터리 리스팅: Difference between revisions
From IT위키
No edit summary |
No edit summary |
||
Line 6: | Line 6: | ||
* 디렉토리 검색 기능이 활성화되어 있는 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하여 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 등 공개되어서는 안 되는 중요 파일 노출이 가능함 | * 디렉토리 검색 기능이 활성화되어 있는 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하여 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 등 공개되어서는 안 되는 중요 파일 노출이 가능함 | ||
== | == 조치 방법 == | ||
* 디렉토리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 Indexs 옵션 제거) | |||
* 1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후 | |||
<pre class='shell'> | <pre class='shell'> | ||
$vi /[Apache_home]/conf/httpd.conf | $vi /[Apache_home]/conf/httpd.conf | ||
Line 26: | Line 23: | ||
</Directory> | </Directory> | ||
</pre> | </pre> | ||
* 수정 후: Option 지시자에 Indexes 옵션 제거 후 저장 | |||
<pre class='shell'> | <pre class='shell'> | ||
<Directory /> | <Directory /> |
Revision as of 15:39, 12 September 2019
취약점 개요
- 대상 OS : SunOS, Linux, AIX, HP-UX
- 디렉토리 검색은 디렉토리 요청 시 해당 디렉토리에 기본 문서가 존재하지 않을 경우 디렉토리 내 모든 파일의 목록을 보여주는 기능임.
- 디렉토리 검색 기능이 활성화되어 있는 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하여 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 등 공개되어서는 안 되는 중요 파일 노출이 가능함
조치 방법
- 디렉토리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 Indexs 옵션 제거)
- 1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
$vi /[Apache_home]/conf/httpd.conf
- 2. 설정된 모든 디렉토리의 Options 지시자에서 Indexes 옵션 제거
- 수정 전: Option 지시자에 Indexes 옵션이 설정되어 있음
<Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory>
- 수정 후: Option 지시자에 Indexes 옵션 제거 후 저장
<Directory /> Options FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory>