디렉토리 리스팅 취약점
: 인덱스 파일로 지정한 파일이 존재하지 않거나, 디렉토리 리스팅을 허락하도록 설정했을 경우 디렉토리 리스트가 출력됨에 따라 하위 파일 및 디렉토리 목록이 출력되어 파일의 열람 및 저장도 가능하게 하는 취약점입니다. 공격자는 파일의 구조를 파악한 후 악성 파일 업로드/다운로드 등 다른 추가 취약점 공격에 이를 악용할 수 있습니다.
조치로는 웹 서버 설정에서 디렉토리 인덱싱 기능을 비활성화합니다. Apache의 경우 httpd.conf 파일에서 indexes 인자를 제거합니다.
내 가상 머신에서는 httpd.conf 가 아니라 apache2.conf 파일이였고 index 부분을 찾아 제거해주었다.
[수정 전]
[수정 후]
[시큐어 코딩 전]
[시큐어 코딩 후]
'개발 > PHP' 카테고리의 다른 글
| 기본기능을 갖춘 웹 개발 예시 PHP 파일 공유 (0) | 2022.02.25 |
|---|---|
| [시큐어 코딩] PHP - 서버 정보 노출 취약점 예방 (0) | 2022.02.21 |
| [시큐어 코딩] PHP - 인가취약점 예방, form 변수 값 자동 넘기기,document.getElementById().submit() 사용. (0) | 2022.02.20 |
| [시큐어 코딩] PHP - 인증 취약점을 막기 위한 세션 변수 사용 (0) | 2022.02.19 |
| [시큐어 코딩] PHP - XSS 대응방안 - htmlspecialchars() 함수 사용 (0) | 2022.02.19 |
