ช่องโหว่การแสดงรายชื่อไฟล์หรือโฟลเดอร์ (Directory Listing)

รายละเอียดประเด็นข้อตรวจพบ

ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดใช้งานแสดงไฟล์หรือโฟลเดอร์ (Directory Listing) ผ่านเว็บเบราเซอร์ ซึ่งการเปิดใช้งานบริการนี้ไม่จำเป็นต้องใช้ภายหลังที่อยู่บนระบบใช้งานจริง (Production environment) นอกจากนี้ในบางหน้าเว็บเพจเราพบชื่อผลิตภัณฑ์และหมายเลขรุ่น

การเปิดใช้งานดังกล่าวช่วยให้ผู้ประสงค์ร้ายสามารถค้นหาข้อมูลสำคัญ เช่น ชื่อผลิตภัณฑ์และหมายเลขรุ่น รวมถึงไฟล์ต่าง ๆ ที่อาจถูกเก็บไว้ ทั้งตั้งใจและไม่ตั้งใจ จากประสบการณ์การตรวจสอบเราพบว่าทางผู้ดูแลระบบนำไฟล์ “Backup” สำหรับการเชื่อมต่อฐานข้อมูลเพื่อวางไว้ชั่วคราว แต่ผู้ทดสอบสามารถเห็นรายชื่อไฟล์ดังกล่าวและดาวน์โหลดมาเก็บไว้เพื่อเชื่อมต่อฐานข้อมูลได้ในลำดับถัดไป

intitle:"Directory Listing For" "Filename" intext:apache

ข้อแนะนำ

ปิดการใช้งาน “Directory listing”

สำหรับ Apache

สำหรับ "Apache webserver" ให้ทำการปิด "Directory Listing" ดังต่อไปนี้ 
- ค้นหาไฟล์ "httpd.conf"  
- ค้นหาส่วน "directory section"  
- จากนั้นเพิ่มค่าปรับแต่ง "Options -Indexes"
<Directory /home/<vitual_host>/public_html>  
  Options -Indexes 
</Directory>

อ้างอิงเพิ่มเติม

บทความที่เกี่ยวข้อง IT SELECT LAB