본문 바로가기

web/웹 해킹 및 보안

directory listing 취약점 막기(apache2)


안녕하세요 이번에는 directory listing 취약점을 방지하는 apache2설정에 대해서 설명하겠습니다.




directory listing이란 디렉토리 브라우져를 통해 디렉토리의 하위 폴더와 파일들을 볼 수 있는 취약점 입니다. 


아래와 같이 나타납니다.

공격 방법은 폴더명이 노출 되었을 때 폴더명만 입력합니다.

예를들어 /var/www/html/ 이 기본 웹 폴더 일때 하위 폴더에 static 폴더가 있다면 


localhost/static/ 이렇게 입력해주시면 디렉토리 리스팅이 되는지 확인 할 수 있습니다.



패치 법


vi 혹은 eidter 프로그램으로 /etc/apache2/apache2.conf를 열어 줍니다.


 



아래로 쭉 내리다 보면 아래와 같은 설정 들을 볼 수 있습니다. 



여기서 Indexes를 지우시면 됩니다. 아래와 같이



그리고 저장시키면 됩니다.

그후에 설정파일을 수정 했으므로 apache2를 재시작 해야합니다.


재시작은 

service apache2 restart를 shell창에 입력해주시면 됩니다.


그러면 아까 directory listing 취약점이 패치 된 것을 확인 할 수 있습니다.




만약에 일부 폴더를 디렉토리 리스팅이 되게 허용하고 싶다면 아래와 같이 새롭게 설정을 하나 더 만드시면 됩니다.

(위에 설정 아래에 하나 더 만드시면 됩니다.) 



폴더 목록을 보면 /var/www/html/tset/라는 폴더에

directory listing을 허용 했습니다.

그러면 /test/폴더 하위에있는 모든 폴더 들이 directory listing이 가능합니다.