共用目錄偵測

info Web App Scanning Plugin ID 98072

概要

共用目錄偵測

說明

掃描程式在遠端 Web 伺服器上偵測到一個共用目錄。

Web 應用程式通常由多個檔案和目錄所組成。隨著時間的推移,某些目錄可能會變成 Web 應用程式未參照 (未使用) 的目錄,並被管理員或開發人員遺忘。由於 Web 應用程式是使用通用架構構建,因此其中包含可發現的通用目錄 (與伺服器無關)。

在攻擊的初始偵察階段,網路不法份子會嘗試尋找未參照的目錄,並寄希望於該目錄有助於進一步入侵 Web 應用程式。為達到此目的,他們會使用含有常用名稱的字詞清單提出數千個要求。然後,來自伺服器的回應標頭會指出該目錄是否存在。

解決方案

如果是未參照的目錄,則應將其從 web root 和/或應用程式目錄中移除。
防止未經驗證的存取也可能是一個選項,這可以阻止用戶端檢視檔案的內容,但仍可能會發現目錄結構。
使用模糊的目錄名稱會實作「隱晦式安全」,因此不建議使用。

另請參閱

http://httpd.apache.org/docs/2.0/mod/mod_access.html

http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location

https://www.nginx.com/resources/admin-guide/restricting-access-auth-basic/

https://www.owasp.org/index.php/Forced_browsing

Plugin 詳細資訊

嚴重性: Info

ID: 98072

類型: remote

系列: Web Servers

已發布: 2017/3/31

已更新: 2024/1/3

掃描範本: api, basic, full, pci, scan