検出

共通ディレクトリの検出

info Web App Scanning プラグイン ID 98072

Language:

概要

共通ディレクトリの検出

説明

スキャナーが、リモートの Web サーバーで共通のディレクトリを検出しました。

Web アプリケーションは多くの場合、複数のファイルとディレクトリで構成されています。時間の経過とともに、一部のディレクトリが Web アプリケーションによって参照されない (使用されない) ようになり、管理者や開発者によって忘れられる可能性があります。Web アプリケーションは共通のフレームワークを使用して構築されているため、発見できる共通のディレクトリが含まれています (サーバーに依存しません)。

攻撃の最初の偵察段階で、サイバー犯罪者はディレクトリが Web アプリケーションのさらなる侵害に役立つことを見込んで、参照されていないディレクトリを見つけようとします。これを行うために、サイバー犯罪者は一般的な名前を含む単語リストを使用して何千ものリクエストを行います。サーバーからの応答ヘッダーは、ディレクトリが存在するかどうかを示します。

ソリューション

参照されていないディレクトリは、Web ルートおよび/またはアプリケーションディレクトリから削除する必要があります。
認証なしのアクセスを防ぐことも 1 つのオプションであり、ファイルの内容をクライアントが表示できないようになる可能性があります。ただし、ディレクトリ構造を発見できる可能性は高くなります。
不明瞭なディレクトリ名の使用は「不明瞭さによるセキュリティ」を実装することになるため、推奨されるオプションではありません。

参考資料

http://httpd.apache.org/docs/2.0/mod/mod_access.html

http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location

https://www.nginx.com/resources/admin-guide/restricting-access-auth-basic/

https://www.owasp.org/index.php/Forced_browsing

プラグインの詳細

深刻度: Info

ID: 98072

タイプ: remote

ファミリー: Web Servers

公開日: 2017/3/31

更新日: 2024/1/3

スキャン テンプレート: api, basic, full, pci, scan