웹취약점: 디렉터리 나열 취약점

특징

• 서버의 미흡한 설정(초기 페이지 파일 미설정)으로 인덱싱 기능이 활성화 되어 있을 경우 발생
• 상위 URL뒤에 특정 경로를 입력하여 쿼리를 서버로 전송하게 될 경우 디렉터리와 파일들이 노출
• 다운로드와 같은 작업이 가능하기 때문에 웹 서버에 민감한 정보의 유출 위험
• 디렉터리 나열 취약점 = 디렉터리 노출 취약점 = 디렉터리 인덱싱 취약점

접근방법

• 구글에 index of 키워드를 이용하여 검색을 하면 해당 취약점을 가진 웹페이지가 노출

• 웹페이지로 접근한 결과 개인정보등이 담긴 파일을 다운로드할 수 있음

대응방안

• 웹 서버의 설정 파일에서 디렉터리 나열 기능을 비활성화
• 디렉터리마다 인덱스 파일을 제공하여 사용자가 디렉터리 목록을 볼 수 없도록 설정 
• Web Applicaiton Firewall를 사용하여 디렉터리 나열과 같은 요청을 차단