5. 디렉터리 리스팅 제거

취약점 설명

디렉터리 리스팅의 경우 특정 파일이 아닌 디렉터리 경로로 진입했을 경우 해당 디렉터리의 파일들을 보여주는 설정이다.

(www.test.com/main.php 가 아닌 www.test.com/upload/ 같은 경로)

개발 환경에서는 사용하여 편의성을 높일 수 있겠지만 해당 설정이 운영 중에도 활성화 되어 있을 경우 굉장히 취약해진다.

딴소리

웬만하면 다들 막혀있지만, 정말 가끔 웹 모의해킹 시 보이는 경우가 있다.

진단 방법

apache2 conf 파일에 Indexes 옵션이 활성화 되어 있는지 확인

cat /etc/apache2/apache2.conf | grep Indexes

양호 취약 기준

Indexes 값 앞에 - 기호가 붙어있거나, 값이 존재하지 않을 경우

Indexes 값을 삭제하여도 무관하나, 버전에 따라 기본값이 적용되 활성화가 될 수 있으므로 - 기호로 명시함을 권고

Indexes 값 앞에 - 기호가 존재하지 않거나 + 상태일 경우 취약

참고