O 디렉터리 인덱싱 기능이 활성화되어 있을 경우 브라우저를 통해 디렉터리 요청 시 디렉터리 내 파일 리스트가 노출되어 웹 서버 구조 및 소스파일 등 중요 파일이 노출될 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.671)
☞ OWASP TOP10 2021
O 판단 기준
양호
| 디렉터리 파일 리스트가 노출되지 않는 경우
|
취약
| 디렉터리 파일 리스트가 노출되는 경우 |
O 점검 방법
- 디렉터리 URL을 입력하여 웹 사이트의 파일 및 폴더 구조 리스팅 여부 확인
- 최상위 경로 접근 시도 시 디렉터리 파일리스트가 노출되는지 확인
O 조치 방법
- 웹 서버 환경설정에서 디렉터리 인덱싱 기능 제거
O 시큐어 코딩(Secure Coding) 예시
# Apache ▶
// httpd.conf파일 내 DocumentRoot 항목의 Options에서 Indexes 제거
<Directory "/var/www/html">
Options Indexes
</Directory>
# IIS 7.0 ▶
- IIS 관리자에서 적용할 사이트의 디렉터리 검색 아이콘 선택 후 사용안함 설정
# Tomcat ▶
// web.xml 파일
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
<!--param-value>true</param-value-->
</init-param>
- resin
<directory-servlet>false</directory-servlet>
# WebtoB ▶
// ${WEBTOBDIR}/config/http.m 파일 내 Options 항목에서 index 옵션 삭제 또는 -index 옵션으로 설정 후 설정파일 컴파일 및 재구동
# ${WEBTOBDIR}/config/http.m
*NODE
GuideSample WEBTOBDIR="/home/user/webtob",
SHMKEY = 54000,
DOCROOT="/home/user/webtob/docs",
PORT = "8080",
HTH = 1,
LOGGING = "log1"
ERRORLOG = "log2",
Options = "-index"
O 디렉터리 인덱싱 기능이 활성화되어 있을 경우 브라우저를 통해 디렉터리 요청 시 디렉터리 내 파일 리스트가 노출되어 웹 서버 구조 및 소스파일 등 중요 파일이 노출될 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.671)
☞ OWASP TOP10 2021
O 판단 기준
O 점검 방법
- 디렉터리 URL을 입력하여 웹 사이트의 파일 및 폴더 구조 리스팅 여부 확인
- 최상위 경로 접근 시도 시 디렉터리 파일리스트가 노출되는지 확인
O 조치 방법
- 웹 서버 환경설정에서 디렉터리 인덱싱 기능 제거
O 시큐어 코딩(Secure Coding) 예시
# Apache ▶
# IIS 7.0 ▶
- IIS 관리자에서 적용할 사이트의 디렉터리 검색 아이콘 선택 후 사용안함 설정
# Tomcat ▶
# WebtoB ▶