Help us learn about your current experience with the documentation. Take the survey.
通过目录列表暴露信息
描述
目标 Web 服务器被配置为列出不包含索引文件(例如 index.html)的目录内容。这可能导致敏感信息意外泄露,或者向攻击者提供有关文件名和目录结构及存储方式的详细信息。
修复方案
应禁用目录索引。
Apache:
对于基于 Apache 的网站,请确保在 apache2.conf 或 httpd.conf 配置文件中,所有的 <Directory> 定义都配置了 Options -Indexes。
NGINX:
对于基于 NGINX 的网站,请确保在 nginx.conf 文件中,所有的 location 定义都设置了 autoindex off 指令。
IIS:
对于 7.0 及以上版本的 IIS 网站,您可以在 applicationHost.config 或 Web.config 文件中使用 <directoryBrowse enabled="false" /> 元素。
对于所有其他类型的服务器,请查阅产品文档以了解如何禁用目录索引。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 548.1 | false | 548 | Passive | Low |