English

◀◁ 뒤로 취약점ID 22081 위험도 20 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Apache 웹서버로의 Request의 끝에 '?M=A' 혹은 '?S=D'를 덧붙임으로써 index.html 파일의 존재유무와는 관계없이 디렉토리 리스팅을 획득할 수 있다. Apache의 AutoIndex 모듈은 웹 root 내에 있는 디렉토리들에 대한 자동 인덱싱 기능을 제공한다. 관리자들은 디렉토리의 실제 내용들이 리스팅되지 않도록 하기 위해 'index.html' 파일에 의존하기도 한다. 그러나 이 모듈에는 'index.html' 파일의 존재에도 불구하고 디렉토리의 내용들이 노출될 수 있는 취약점이 존재한다. 이 취약점은 Attacker들에게 중요한 정보가 될 수 있으며 특히 디렉토리 리스팅을 막고자 'index.html' 파일에 의존한다면 더욱 더 그러하다. 다음과 같은 index 인수들에 의해 디렉토리 내용들이 노출된다: http://target-webserver/?M=A http://target-webserver/?S=D 해결책 조치방법으로써 Apache 설정 파일인 httpd.conf 에서 Autoindexing 모듈을 작동중지 시키거나 index 옵션들을 제거해야 한다. 관련 URL CVE-2001-0731 (CVE) 관련 URL 3009 (SecurityFocus) 관련 URL 8275 (ISS)