디렉터리 리스팅 취약점 (Directory Listing Vulnerability)

* 디렉터리 리스팅 취약점 : 취약한 웹 서버 설정으로 인해 인덱싱(리스팅) 기능이 활성화 되어, 서버 내 모든 디렉터리 및 파일 목록을 볼 수 있는 취약점

 

 

 

* 대응책 : 디렉터리 인덱싱 기능을 제거 (시스템 별 설정 상이)

1) 아파치 웹서버(httpd.conf) 인덱싱 기능 및 접근제어 설정

httpd.conf Options 지시자 변경

- 모든 디렉터리 (<Directory />)에 대해, Options 지시자의 Indexes 기능을 None으로 변경 (동일 경로 재조회 시, 403 Forbidden 코드 반환)

httpd.conf에서 /index 경로에 접근제어(192.168.10.1만 접근 가능) 설정

- httpd.conf에서 지정 경로(/index, /admin 등 중요 페이지)에 대한 접근 제어 설정

Order 지시자 : 허용IP와 거부IP의 순서를 명시하는 것으로 뒤에 명시된 설정이 우선(위 이미지는 Allow 우선 적용 - Allow from 선적용)함 (문법 논리가 중요)

IP	httpd.conf 접근제어 사용방법 예시
특정 IP	Allow 또는 Deny from 192.168.10.1
IP 리스트	Allow 또는 Deny from 192.168.10.1 192.168.20.1
IP 대역	Allow 또는 Deny from 192.168.10.1 192.168.10.0/24

 

 

 

2) IIS 환경 인덱싱 기능

IIS 인덱싱 기능 제거 (디렉터리 검색 off)

 

 

 

3) Tomcat 웹서버 환경 인덱싱 기능

- web.xml(설정 파일)의 listings 파라미터 설정을 true에서 false로 변경 시, 인덱싱 기능 비활성화 가능