ディレクトリリスト

medium Web App Scanning プラグイン ID 98084

Language:

概要

ディレクトリリスト

説明

通常、ファイルの共有には、ディレクトリリストを許可する Web サーバーが使用されます。

ディレクトリリストを使用して、クライアントは、Web サーバーでホストされているすべてのファイルとフォルダの簡単なリストを表示できます。クライアントは、各ディレクトリをトラバースし、ファイルをダウンロードできます。

サイバー犯罪者は、ディレクトリリストの存在を利用して、機密ファイルを発見したり、保護されたコンテンツをダウンロードしたり、Web アプリケーションの構造を学んだりします。

スキャナーが、影響を受けるページがディレクトリリストを許可していることを検出しました。

ソリューション

静的で機密性の低いファイルを共有するために Web サーバーが利用されているのでない限り、ディレクトリリストを有効にすることは不適切なセキュリティ対策と考えられています。
これは通常、サーバーの簡単な構成変更によって実施できます。ディレクトリリストを無効にする手順は、使用しているサーバーのタイプ (IIS、Apache など) によって異なります。ディレクトリリストが必要であり、許可されている場合は、そのような構成のリスクを確実に減らすための手順を実行する必要があります。
これには以下が含まれる場合があります。
1. 影響を受けるページにアクセスするには認証が必要です。2. 影響を受けるパスを「robots.txt」ファイルに追加し、ディレクトリのコンテンツが検索エンジンで検索できないようにします。3. 機密ファイルが Web またはドキュメントルート内に保存されないようにします。4. アプリケーションの機能にとって不要なファイルを削除します。