通用檔案偵測
info Web App Scanning Plugin ID 98071
語系:
概要
通用檔案偵測說明
掃描程式在遠端 Web 伺服器上偵測到通用敏感檔案。Web 應用程式通常由多個檔案和目錄所組成。隨著時間的推移,某些檔案可能會變成 Web 應用程式未參照 (未使用) 的檔案,並被管理員或開發人員遺忘。由於 Web 應用程式是使用通用架構構建,因此其中包含可發現的通用檔案 (與伺服器無關)。
在攻擊的初始偵察階段,網路不法份子會嘗試尋找未參照的檔案,並寄希望於該檔案有助於進一步入侵 Web 應用程式。為達到此目的,他們會使用含有常用檔案名稱的字詞清單提出數千個要求。然後,來自伺服器的回應標頭會指出該檔案是否存在。
解決方案
如果是未參照的檔案,則應將其從 web root 和/或應用程式目錄中移除。防止未經驗證的存取也可能是一個選項,這可以阻止用戶端檢視檔案的內容,但仍可能會發現目錄結構。
使用模糊的檔案名稱會實作「隱晦式安全」,因此不建議使用。
另請參閱
http://httpd.apache.org/docs/2.0/mod/mod_access.html
http://nginx.org/en/docs/http/ngx_http_access_module.html
http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location
https://www.nginx.com/resources/admin-guide/restricting-access-auth-basic/
Plugin 詳細資訊
嚴重性: Info
ID: 98071
類型: remote
系列: Web Servers
已發布: 2017/3/31
已更新: 2024/1/8
掃描範本: api, basic, full, pci, scan