検出

Webサイトのsitemap.xmlファイルおよびディレクトリの漏洩

info Nessus プラグイン ID 22867

Language:

概要

リモートWebサーバーに、「sitemap.xml」ファイルが含まれています。

説明

サイトマッププロトコルを使用すれば、クロールに利用可能なWebサイト上のURLについて検索エンジンに通知することができます。最も単純な形態のサイトマップは、サイトのURLを一覧表示したXMLファイルです。

多くのサイト所有者が、スパイダリングを通してサイトマップを構築しているのではなく、Webルートディレクトリ構造に対するスクリプト化された実行によって構築していることがわかっています。その場合は、攻撃者が、サイトマップを使用して、Webサーバールート内のすべてのファイルとディレクトリを列挙できる可能性があります。

ソリューション

サイト所有者は、sitemap.xmlファイルの自動生成を警戒する必要があり、管理者は、機密資料のこれらのsitemap.xmlファイルの内容を確認する必要があります。

参考資料

http://www.quietmove.com/blog/google-sitemap-directory-enumeration-0day/

https://accounts.google.com/ServiceLogin?service=sitemaps&passive=1209600&continue=https://www.google.com/webmasters/tools/docs/en/protocol.html&followup=https://www.google.com/webmasters/tools/docs/en/protocol.html

プラグインの詳細

深刻度: Info

ID: 22867

ファイル名: sitemap.nasl

バージョン: 1.14

タイプ: remote

ファミリー: CGI abuses

公開日: 2006/10/14

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus