網站 sitemap.xml 檔案和目錄洩漏

info Nessus Plugin ID 22867

語系：

概要

遠端 web 伺服器上有一個「sitemap.xml」檔案。

說明

Sitemap 通訊協定可讓您通知搜尋引擎網站上可供抓取的 URL。在最簡單的形式中，Sitemap 是列出網站 URL 的 XML 檔案。

據發現，許多網站擁有者並非透過 Spidering 而是透過在其 Web Root 目錄結構上執行指令碼來構建其 Sitemap。在這種情況下，攻擊者可能會使用 Sitemap 來列舉 Web 伺服器 Root 中的所有檔案和目錄。

解決方案

網站擁有者應注意不要自動產生 sitemap.xml 檔案，且系統管理員應檢閱 sitemap.xml 檔案的內容中是否有敏感資料。

另請參閱

http://www.quietmove.com/blog/google-sitemap-directory-enumeration-0day/

https://accounts.google.com/ServiceLogin?service=sitemaps&passive=1209600&continue=https://www.google.com/webmasters/tools/docs/en/protocol.html&followup=https://www.google.com/webmasters/tools/docs/en/protocol.html

Plugin 詳細資訊

嚴重性: Info

ID: 22867

檔案名稱: sitemap.nasl

版本: 1.14

類型: remote

系列: CGI abuses

已發布: 2006/10/14

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Nessus