17. 디렉터리 인덱싱

O 디렉터리 인덱싱 기능이 활성화되어 있을 경우 브라우저를 통해 디렉터리 요청 시 디렉터리 내 파일 리스트가 노출되어 웹 서버 구조 및 소스파일 등 중요 파일이 노출될 수 있는 취약점


O 근거 자료

주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.671)

OWASP TOP10 2021


O 판단 기준

양호
디렉터리 파일 리스트가 노출되지 않는 경우
취약
디렉터리 파일 리스트가 노출되는 경우


O 점검 방법

디렉터리 URL을 입력하여 웹 사이트의 파일 및 폴더 구조 리스팅 여부 확인

최상위 경로 접근 시도 시 디렉터리 파일리스트가 노출되는지 확인


O 조치 방법

- 웹 서버 환경설정에서 디렉터리 인덱싱 기능 제거


O 시큐어 코딩(Secure Coding) 예시 

# Apache ▶
// httpd.conf파일 내 DocumentRoot 항목의 Options에서 Indexes 제거 
<Directory "/var/www/html">
    Options Indexes
</Directory>


# IIS 7.0

- IIS 관리자에서 적용할 사이트의 디렉터리 검색 아이콘 선택 후 사용안함 설정 


# Tomcat ▶
// web.xml 파일
<init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value>
    <!--param-value>true</param-value-->
</init-param>

- resin
<directory-servlet>false</directory-servlet>


# WebtoB ▶
// ${WEBTOBDIR}/config/http.m 파일 내 Options 항목에서 index 옵션 삭제 또는 -index 옵션으로 설정 후 설정파일 컴파일 및 재구동
# ${WEBTOBDIR}/config/http.m
*NODE
GuideSample     WEBTOBDIR="/home/user/webtob",
                SHMKEY = 54000,
                DOCROOT="/home/user/webtob/docs",
                PORT = "8080",
                HTH = 1,
                LOGGING = "log1"
                ERRORLOG = "log2",
                Options = "-index"