안녕하세요 이번에는 directory listing 취약점을 방지하는 apache2설정에 대해서 설명하겠습니다.
directory listing이란 디렉토리 브라우져를 통해 디렉토리의 하위 폴더와 파일들을 볼 수 있는 취약점 입니다.
아래와 같이 나타납니다.
공격 방법은 폴더명이 노출 되었을 때 폴더명만 입력합니다.
예를들어 /var/www/html/ 이 기본 웹 폴더 일때 하위 폴더에 static 폴더가 있다면
localhost/static/ 이렇게 입력해주시면 디렉토리 리스팅이 되는지 확인 할 수 있습니다.
패치 법
vi 혹은 eidter 프로그램으로 /etc/apache2/apache2.conf를 열어 줍니다.
아래로 쭉 내리다 보면 아래와 같은 설정 들을 볼 수 있습니다.
여기서 Indexes를 지우시면 됩니다. 아래와 같이
그리고 저장시키면 됩니다.
그후에 설정파일을 수정 했으므로 apache2를 재시작 해야합니다.
재시작은
service apache2 restart를 shell창에 입력해주시면 됩니다.
그러면 아까 directory listing 취약점이 패치 된 것을 확인 할 수 있습니다.
만약에 일부 폴더를 디렉토리 리스팅이 되게 허용하고 싶다면 아래와 같이 새롭게 설정을 하나 더 만드시면 됩니다.
(위에 설정 아래에 하나 더 만드시면 됩니다.)
폴더 목록을 보면 /var/www/html/tset/라는 폴더에
directory listing을 허용 했습니다.
그러면 /test/폴더 하위에있는 모든 폴더 들이 directory listing이 가능합니다.
'web > 웹 해킹 및 보안' 카테고리의 다른 글
| OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점 (1) | 2017.05.25 |
|---|---|
| OWASP 취약점 정리(1/10) OS injection (0) | 2017.05.24 |
| PHP 비교 연산자 취약점 (magic hash) (0) | 2017.05.21 |
| xss를 이용한 session 탈취 (0) | 2016.10.03 |
| index of 취약점 제거(웹 시작 페이지 바꾸기) (3) | 2016.10.02 |
댓글