ช่องโหว่การแสดงรายชื่อไฟล์หรือโฟลเดอร์ (Directory Listing)

ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดใช้งานแสดงไฟล์หรือโฟลเดอร์ (Directory Listing) ผ่านเว็บเบราเซอร์ ซึ่งการเปิดใช้งานบริการนี้ไม่จำเป็นต้องใช้ภายหลังที่อยู่บนระบบใช้งานจริง (Production environment) นอกจากนี้ในบางหน้าเว็บเพจเราพบชื่อผลิตภัณฑ์และหมายเลขรุ่น

อ่านเพิ่มเติม

ช่องโหว่เปิดเผยรายละเอียดของเครื่องบริการ (Server Banner Disclosure)

ผู้ทดสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดเผยรายละเอียดข้อมูลของเครื่องให้บริการเว็บไซต์เช่น ชื่อผลิตภัณฑ์ หมายเลขรุ่น เป็นต้น ซึ่งข้อมูลเหล่านี้ไม่จำเป็นต้องใช้ภายหลังที่อยู่บนระบบใช้งานจริง (Production environment)

อ่านเพิ่มเติม

ช่องโหว่เครื่องให้บริการเปิดใช้งานเว็บเมธอดไม่จำเป็น (HTTP TRACE/TRACK Methods Allowed)

จากการใช้เครื่องมือวิเคราะห์ช่องโหว่อัตโนมัติ ผู้ตรวจสอบพบว่าเป้าหมายที่กำลังทดสอบมีการเปิดใช้งาน “Methods” ไม่จำเป็น เช่น TACE หรือTRACK ซึ่ง “Method” ดังกล่าวมีไว้สำหรับการตรวจสอบข้อบกพร่องหรือวิเคราะห์การเชื่อมต่อไปยังเครื่องให้บริการ (Debugging the web server connections) ในระบบพัฒนาหรือทดสอบ (Development and test environment)

อ่านเพิ่มเติม