가. 취약점 개요
■ 내용 : 디렉터리 검색 기능의 활성화 여부 점검
■ 목적 : 외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로 함
■ 보안 위협
- 디렉터리 검색 기능이 활성화 되어 있을 경우, 사용자에게 디렉터리내 파일 이 표시되어 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출 가능함
나. 점검방법
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
■ 판단기준
- 양호 : 디렉터리 검색 기능을 사용하지 않는 경우
- 취약 : 디렉터리 검색 기능을 사용하는 경우
■ 점검 명령어
| OS | 점검 파일 |
| SOLARIS, LINUX, AIX, HP-UX | Indexes 옵션 사용 여부 확인 #vi /[Apache_home]/conf/httpd.conf Options Indexes FollowSymLinks |
| 위에 제시한 파일에 "Indexes" 옵션이 설정된 경우 아래의 보안설정방법에 따라 옵션 설정 변경 | |
다. 조치방법
■ 조치방법 : 디렉터리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거)
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache_home]/conf/httpd.conf
Step 2) 설정된 모든 디렉터리의 Options 지시자에서 Indexes 옵션 제거
(수정 전) Option 지시자에 Indexes 옵션이 설정되어 있음
| <Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory> |
(수정 후) Option 지시자에 Indexes 삭제 또는 -Indexes 변경 후 저장
| <Directory /> Options Indexes 삭제 (또는 -Indexes) AllowOverride None Order allow, deny Allow from all </Directory> |
라. 조치시 영향
■ 일반적인 경우 영향 없음