반응형
| U-35 (상) | 3. 서비스관리 > 웹서비스 디렉토리 리스팅 제거 |
| 취약점 개요 | |
| 점검내용 | 디렉토리 검색 기능의 활성화 여부 점검 |
| 점검목적 | 외부에서 디렉토리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로 함 |
| 보안위협 | 디렉토리 검색 기능이 활성화되어 있을 경우, 사용자에게 디렉터리 내 파일이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출 가능함 |
| 참고 | - |
| 점검대상 및 판단기준 | |
| 대상 | SOLARIS, LINUX, AIX, HP-UX 등 |
| 판단기준 | 양호 : 디렉토리 검색 기능을 사용하지 않는 경우 |
| 취약 : 디렉토리 검색 기능을 사용하는 경우 | |
| 조치방법 | 디렉토리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 Indexes 옵션 제거) |
| 점검 및 조치 사례 | |
 • SOLARIS, LINUX, AIX, HP-UX Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기 #vi /[Apache_home]/conf/httpd.conf Step 2) 설정된 모든 디렉토리의 Options 지시자에서 Indexes 옵션 제거 (수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음 <Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory> |
|
| (수정 후) Option 지시자에 Indexes 삭제 또는 –Indexes 변경 후 저장 <Directory /> Options Indexes 삭제 (또는 –Indexes) AllowOverride None Order allow, deny Allow from all </Directory> |
|
반응형
'정보보안' 카테고리의 다른 글
| U-37) unix 서버취약점 > 서비스 관리 > 웹서비스 상위 디렉토리 접근 금지 (0) | 2023.02.16 |
|---|---|
| U-36) unix 서버취약점 > 서비스 관리 > 웹서비스 웹 프로세스 권한 제한 (0) | 2023.02.16 |
| U-33) unix 서버취약점 > 서비스 관리 > DNS 보안 버전 패치 (0) | 2023.02.15 |
| U-32) unix 서버취약점 > 서비스 관리 > 일반사용자의 sendmail 실행 방지 (0) | 2023.02.14 |
| U-31) unix 서버취약점 > 서비스 관리 > 스팸 메일 릴레이 제한 (0) | 2023.02.14 |
댓글