SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡

SRV-040 (Apache) 웹 서비스 디렉터리 리스팅 방지 설정 미흡

【 상세설명 】
디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검

【 판단기준 】
- 양호 : 디렉터리 리스팅이 허용되지 않은 경우
- 취약 : 디렉터리 리스팅이 허용된 경우

【 판단방법 】
1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인
    ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Indexes”, “+Indexes”, “ALL”, “+ALL” 설정 존재 시 "취약")

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat /etc/apache2/httpd.conf | grep "Options"
      # cat /etc/apache2/apache2.conf | grep "Options"
      # cat /etc/httpd/httpd.conf | grep "Options"
      # cat /etc/httpd/conf/httpd.conf | grep "Options"
      # cat /<HTTPD_ROOT>/apache2.conf | grep "Options"
      # cat /<HTTPD_ROOT>/httpd.conf | grep "Options"
      # cat /<HTTPD_ROOT>/conf/httpd.conf | grep "Options"

       ※ Apache Web Root 경로 확인(HTTPD_ROOT)
          # apachectl -V | grep "HTTPD_ROOT"
          # apache2 -V | grep "HTTPD_ROOT"
          # httpd -V | grep "HTTPD_ROOT"

【 조치방법 】
1. 웹 서비스 설정 파일에서 디렉터리 리스팅 제한 설정
    ※ 각 절 Options 에서 “Indexes”, “+Indexes”, “ALL”, “+ALL” 설정을 제거하거나 “-Indexes” 또는 “-ALL” 설정
2. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)