目錄清單
medium Web App Scanning Plugin ID 98084
語系:
概要
目錄清單說明
允許目錄清單的 Web 伺服器通常用於共用檔案。目錄清單可讓用戶端檢視 Web 伺服器上主控的所有檔案和資料夾的簡單清單。然後,用戶端就可以遊走每個目錄並下載檔案。
網路不法份子會利用目錄清單的存在來探索敏感檔案、下載受保護的內容,甚至只是瞭解 Web 應用程式的結構。
掃描程式發現受影響的頁面允許目錄清單。
解決方案
除非 Web 伺服器用於共用靜態和非敏感檔案,否則啟用目錄清單會被視為安全性欠佳的作法這通常可以透過在伺服器上執行簡單的設定變更來完成。停用目錄清單的步驟會視所使用的伺服器類型 (IIS、Apache 等) 而有所不同。如果需要並允許目錄清單,則應採取步驟確保降低此類設定的風險。
這包括:
1. 需要驗證才能存取受影響的頁面。 2. 將受影響的路徑新增至「robots.txt」檔案,以防止能夠透過搜尋引擎搜尋目錄內容。 3. 確保敏感檔案不會儲存在 Web 或文件 root 中。 4. 移除應用程式正常運作不需要的任何檔案。
另請參閱
https://www.owasp.org/index.php/OWASP_Periodic_Table_of_Vulnerabilities_-_Directory_Indexing
Plugin 詳細資訊
嚴重性: Medium
ID: 98084
類型: remote
系列: Web Servers
已發布: 2019/2/4
已更新: 2024/3/25
掃描範本: api, basic, full, overview, pci, scan
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Medium
基本分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable
參考資訊
CWE: 548
OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A1
WASC: Directory Indexing
DISA STIG: APSC-DV-002480
HIPAA: 164.312(a)(1), 164.312(a)(2)(i)
ISO: 27001-A.13.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.18.1.3, 27001-A.6.2.2, 27001-A.9.1.2, 27001-A.9.4.1, 27001-A.9.4.4, 27001-A.9.4.5
NIST: sp800_53-AC-3
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-4.3.2
PCI-DSS: 3.2-6.5.8