伺服器網站設定未關閉瀏覽目錄索引。網頁伺服器若於該目錄不存在預設首頁時,將顯示該目錄中所有檔案內容,若該項目內存在重要資料,如Access資料庫(.dbm)或設定檔(config.inc),則使用者即可下載存取該機密內容。
造成影響:當開啟目錄索引功能時,則會傳回這目錄中檔案完整清單,若沒有開啟Web Server會回應錯誤訊息,表示存取目錄資源被拒。如過設定上的疏忽,攻擊者送出要求目錄的請求,而這個目錄由預設開啟indexes,那Web Server 會回傳該目錄下的檔案完整清單,則會導致網頁伺服器上的機密資訊的洩漏,雖然攻擊者無法存取所列出的檔案,但透過檔案的名稱,攻擊者還是可以獲得伺服器的相關資訊。
防護方式:關閉網站伺服器直接瀏覽目錄索引選項
修護方式:
IIS伺服器關閉直接瀏覽目錄索引
1.開啟「開始」功能表,點選「控制台」
2.點選「系統管理工具」,開啟「Internet Information Services」
3.開啟IIS視窗,選擇「目錄」,瀏覽目錄功能不要勾選
註:IIS各版本或許有些差異,請在設定時留意
{googleads center}
Apache伺服器關閉直接瀏覽目錄索引
可設定Apache禁止瀏覽目錄下的檔案列表,開啟httpd.conf檔案(路徑為/etc/apache /httpd.conf),然後將列程式碼:
Options Indexes Includes FollowSymLinks
改寫為
Options Includes FollowSymlinks
若要全域實施,將下列程式碼:
Options Indexes Includes FollowSymLins MuLtiViews
改寫為
Options Includes FollowSymLinks MultiViews
註:不同OS環境,Apache預設安裝目錄可能有所不同,請找到httpd.conf檔,並參考說明關閉目錄索引功能。