รายละเอียดประเด็นข้อตรวจพบ
ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดใช้งานแสดงไฟล์หรือโฟลเดอร์ (Directory Listing) ผ่านเว็บเบราเซอร์ ซึ่งการเปิดใช้งานบริการนี้ไม่จำเป็นต้องใช้ภายหลังที่อยู่บนระบบใช้งานจริง (Production environment) นอกจากนี้ในบางหน้าเว็บเพจเราพบชื่อผลิตภัณฑ์และหมายเลขรุ่น
การเปิดใช้งานดังกล่าวช่วยให้ผู้ประสงค์ร้ายสามารถค้นหาข้อมูลสำคัญ เช่น ชื่อผลิตภัณฑ์และหมายเลขรุ่น รวมถึงไฟล์ต่าง ๆ ที่อาจถูกเก็บไว้ ทั้งตั้งใจและไม่ตั้งใจ จากประสบการณ์การตรวจสอบเราพบว่าทางผู้ดูแลระบบนำไฟล์ “Backup” สำหรับการเชื่อมต่อฐานข้อมูลเพื่อวางไว้ชั่วคราว แต่ผู้ทดสอบสามารถเห็นรายชื่อไฟล์ดังกล่าวและดาวน์โหลดมาเก็บไว้เพื่อเชื่อมต่อฐานข้อมูลได้ในลำดับถัดไป
intitle:"Directory Listing For" "Filename" intext:apache
ข้อแนะนำ
ปิดการใช้งาน “Directory listing”
สำหรับ Apache
สำหรับ "Apache webserver" ให้ทำการปิด "Directory Listing" ดังต่อไปนี้ - ค้นหาไฟล์ "httpd.conf" - ค้นหาส่วน "directory section" - จากนั้นเพิ่มค่าปรับแต่ง "Options -Indexes"
<Directory /home/<vitual_host>/public_html> Options -Indexes </Directory>
อ้างอิงเพิ่มเติม
- https://cwe.mitre.org/data/definitions/548.html
- https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration
- https://www.tenable.com/plugins/was/98084
- https://stackoverflow.com/questions/39239276/how-to-enable-a-directory-listing-in-apache-web-server
บทความที่เกี่ยวข้อง IT SELECT LAB