Directory listing: Dezactivarea listării conținutului directoarelor

Publicat de Iulian Băncău · 01-05-2023 · Citire în 2 min.

Directory listing: Dezactivarea listării conținutului directoarelor

Serverele web sunt configurate pentru a lista automat conținutul directoarelor care nu au o pagină de index. Acest lucru poate ajuta un atacator, permițându-i să identifice rapid resursele dintr-un anumit folder și să treacă direct la analizarea și exploatarea acestor resurse. Acest lucru sporește în special expunerea fișierelor sensibile din cadrul directorului care nu sunt destinate să fie accesibile utilizatorilor, cum ar fi fișierele temporare, log-urile cu erori, changelog-uri, fișiere readme etc.

Listarea conținutului directoarelor în sine nu constituie o breșă de securitate. În orice caz, orice resursă sensibilă ar trebui să fie controlată în mod corespunzător și nu ar trebui să fie accesibilă unei părți neautorizate care cunoaște sau ghicește URL-ul. Chiar și atunci când listarea directoarelor este dezactivată, un atacator poate ghici locația fișierelor sensibile folosind instrumente automate.

Remediere:

Apache2
  1. Editați fișierul de configurare al VirtualHost-ului corespunzător
  2. La secțiunea , schimbați din
    <Directory /var/www/> <br> Options Indexes FollowSymLinks <br> AllowOverride None <br> Require all granted <br> </Directory>

    în

    <Directory /var/www/> <br> Options FollowSymLinks <br> AllowOverride None <br> Require all granted <br> </Directory>
  3. Restartați serverul web

Nginx
  1. Editați fișierul de configurare al Nginx pentru site-ul la care dezactivam directory listing
  2. În secțiunea server { }, adăugăm următoarea linie:
    autoindex off;

    Exemplu:
    server {
    listen 80 default_server;
    listen [::]:80 default_server;
    root /var/www/html;
    index index.html index.htm index.nginx-debian.html;
    server_name _;
    location / {
    autoindex off;
    try_files $uri $uri/ =404;
    }
    }
  3. Restartați serverul web

IIS (varianta 1)
  1. Deschideți IIS Manager și selectați site-ul pentru care se face modificarea
  2. În partea dreaptă va apărea o opțiune "Directory Browsing" pe care faceți click
  3. În panel-ul ”Actions” care se va deschide în partea dreaptă a ecranului veți avea un buton ”Disable” pe care faceți click pentru dezactivare.
  4. Restartați serverul web

IIS (varianta 2)
  1. Deschideți cmd
  2. cd %systemroot%\system32\inetsrv\
  3. appcmd.exe set config "Default Web Site" -section:system.webServer/directoryBrowse /enabled:"False" /showFlags:"Date, Time, Size, Extension"
  4. Restartați serverul web

directory listinglistarea continutuluiatacurisecuritatesecuritycybersecurity
Iulian Băncău

Iulian Băncău · Security Engineer

01-05-2023 · Citire în 2 min.

Newsletter

Abonează-te la newsletter-ul nostru pentru a te informa despre noutățile din CyberSecurity. Te poți dezabona oricând.

Mai mult decât CyberSecurity

Oferim o varietate de servicii pentru a ajuta companiile să fie pregătite de confruntări cu atacuri cibernetice reale.

Contactează-ne