目錄清單

medium Web App Scanning Plugin ID 98084

概要

目錄清單

說明

允許目錄清單的 Web 伺服器通常用於共用檔案。

目錄清單可讓用戶端檢視 Web 伺服器上主控的所有檔案和資料夾的簡單清單。然後,用戶端就可以遊走每個目錄並下載檔案。

網路不法份子會利用目錄清單的存在來探索敏感檔案、下載受保護的內容,甚至只是瞭解 Web 應用程式的結構。

掃描程式發現受影響的頁面允許目錄清單。

解決方案

除非 Web 伺服器用於共用靜態和非敏感檔案,否則啟用目錄清單會被視為安全性欠佳的作法
這通常可以透過在伺服器上執行簡單的設定變更來完成。停用目錄清單的步驟會視所使用的伺服器類型 (IIS、Apache 等) 而有所不同。如果需要並允許目錄清單,則應採取步驟確保降低此類設定的風險。
這包括:
1. 需要驗證才能存取受影響的頁面。 2. 將受影響的路徑新增至「robots.txt」檔案,以防止能夠透過搜尋引擎搜尋目錄內容。 3. 確保敏感檔案不會儲存在 Web 或文件 root 中。 4. 移除應用程式正常運作不需要的任何檔案。

另請參閱

https://www.owasp.org/index.php/OWASP_Periodic_Table_of_Vulnerabilities_-_Directory_Indexing

Plugin 詳細資訊

嚴重性: Medium

ID: 98084

類型: remote

系列: Web Servers

已發布: 2019/2/4

已更新: 2024/8/12

掃描範本: api, basic, full, overview, pci, scan

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊