勉強前イメージ
ディレクトリを見るやつ?
調査
ディレクトリリスティング とは
webサーバにおいて本来見えないはずのディレクトリ配下のファイルの一覧を表示させる攻撃方法です。
ディレクトリを指定したアクセスがあるとそのディレクトリに含まれるファイルやディレクトリの一覧が見えてしまいます。
例えば、以下のようなディレクトリ構成のwebサーバがあったとします。
[root@localhost html]# tree
.
├── index.html
└── test_dir
├── a.html
├── b.html
└── c.html
http://[IPアドレス]/test_dir/ を指定してwebページでアクセスを行うと以下のようにディレクトリの中のファイルが見えてしまいます。
これを悪用して隠しファイルや情報を読み取られてしまう可能性があります。
また、 ディレクトリトラバーサル になってしまうこともあります。
このディレクトリ内ののファイルを表示する機能はwebサーバの機能で / で終わるURLを指定すると表示されます。
apacheだとDirectoryIndexで設定されています。
DirectoryIndexは以下の機能があります。
- indexのファイルがあればそれを表示
- indexのファイルがなければ一覧を表示
見えないようにするには?
/etc/httpd/httpd.conf にある Indexes を削除することで見えなくすることは可能です。
....
Options Indexes FollowSymLinks
Options FollowSymLinks
....
service httpd restart
設定後は以下のように見えなくなりました。
勉強後イメージ
確かにファイル見えちゃうと攻撃できたりしちゃうよね....