디렉터리 인덱싱이란?
디렉터리 인덱싱 취약점 : 특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점
해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 경우 보안상 심각한 위험을 초래할 수 있다.
index of 취약점이라고도 한다.
디렉터리 인덱싱 점검
| 점검 내용 | 웹 서버 내 디렉터리 인덱싱 취약점 존재 여부 점검 |
| 점검 목적 | 디렉터리 인덱싱 취약점을 제거하여 특정 디렉터리 내 불필요한 파일 정보의 노출을 차단 |
| 점검 대상 | 웹 서버 |
1. URL 경로 중 확인하고자 하는 디렉터리까지만 주소창에 입력하여 인덱싱 여부 확인
- /icons/
- /images/
- /pr/
- /adm, /files, /download
등 많이 사용되는 디렉터리를 이용해 보았으나 모두 not found 화면을 출력했다.
Home of Acunetix Art
welcome to our page Test site for Acunetix WVS. Warning: This is not a real shop. This is an example PHP application, which is intentionally vulnerable to web attacks. It is intended to help you test Acunetix. It also helps you understand how developer err
testphp.vulnweb.com
해당 사이트에서 실습하면 디렉터리가 보이는 것을 확인할 수 있다.
2. 디렉터리 끝에 %3f.jsp 문자열을 붙여 디렉터리 인덱싱이 되는지 확인
역시나 not found 화면이 출력되었다.
보안 설정 방법
웹 서버 환경설정에서 디렉터리 인덱싱 기능을 제거해야 한다.
apache2의 경우 /etc/apache2 경로에 있는 httpd.conf 파일 내 DocumentRoot 항목의 Options에서 Indexes를 제거한다.
Indexes가 해당 디렉터리의 파일 목록을 보여주는 지시자이다.