1. 디렉터리 인덱싱(DI)
2. 취약점 개요
디렉터리 인덱싱 취약점은 웹 서버에서 특정 디렉터리에 기본 페이지 파일(index.html, index.php, default.asp 등)이 존재하지 않을 경우, 해당 디렉터리 안에 있는 파일 목록이 웹 브라우저에 그대로 표시되는 취약점이다. 이로 인해서 외부 사용자가 서버 내부 파일 구조를 쉽게 확인할 수 있으며, 이는 보안 사고로 이어질 수 있다.
↓ 위험
- 디렉터리에 기본 페이지 파일이 존재하지 않을 경우 ▶ 보통 웹 서버 사용자는 디렉터리 경로로 접속했을 때 기본 페이지 파일을 찾는데 기본 페이지 파일이 없으면 웹 서버는 디렉터리 안에 파일 목록을 대신 보여줌
- 웹 서버의 디렉터리 인덱싱 기능이 활성화 되어 있을 경우
- 접근 제어 설정이 미흡할 경우
- 디렉터리 인덱싱 기능을 비활성화하면 기본 페이지 파일이 없어도 파일 목록은 노출되지 않지만, 설정 변경이나 운영 실수를 대비한 이중 보호를 위해서 기본 페이지 파일 설정을 권고함
- 서버 설정이 변경되거나 다른 서버로 배포할 때 인덱싱이 켜질 수 있기 때문에 기본 페이지 파일이 있다면 인덱싱이 켜져도 파일 목록을 노출하지 않는다.
※ 디렉터리 인덱싱 기능 : 웹 서버가 특정 디렉터리에 접속했을 때 기본 페이지 파일이 없으면 자동으로 디렉터리 안의 파일 목록을 보여주는 기능
3. 점검 결과
1) URL 경로 중 확인하고자 하는 디렉터리까지만 주소창에 입력하여 인덱싱 여부 확인
4. 권고사항
1) 디렉터리 인덱싱 비활성화
2) 기본 인덱스 문서 설정(index.html.index.php등)
3) 파일 시스템 권한 최소화
4) 업로드 파일은 공개 웹루트가 아닌 별도 저장소로 분리(직접 실행/노출 금지)
5) 커스텀 에러 페이지 적용
'Web 취약점' 카테고리의 다른 글
| Web 취약점 진단 - 악성 콘텐츠 (0) | 2025.12.30 |
|---|---|
| Web 취약점 진단 - 정보 누출 (0) | 2025.12.30 |
| Web 취약점 진단 - 운영체제 명령 실행 (0) | 2025.12.26 |
| WAF(Web Application Firewall) (0) | 2025.12.15 |
| Web취약점 진단 - SQL 인젝션 (0) | 2025.12.11 |