SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡

SRV-040 (WebtoB) 웹 서비스 디렉터리 리스팅 방지 설정 미흡

【 상세설명 】
디렉터리 리스팅은 디렉터리에 대한 요청 시 그 디렉터리에 기본 문서가 존재하지 않을 경우 디렉터리 내에 존재하는 모든 파일들의 목록을 출력함. 해당 기능이 활성화 되어 있는 경우 백업 파일이나 소스 파일 등 중요 파일이 외부에 노출될 수 있으므로 해당 기능의 활성화 여부를 점검

【 판단기준 】
- 양호 : 디렉터리 리스팅이 허용되지 않은 경우
- 취약 : 디렉터리 리스팅이 허용된 경우

【 판단방법 】
1. 웹 서비스 설정 파일에서 디렉터리 리스팅 허용 설정 확인
    ※ 각 절 Options 의 디렉터리 리스팅 허용 설정 확인(“Index”, “+Index”, “ALL”, “+ALL” 설정 존재 시 "취약")

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat $WEBTOBDIR/config/http.m
      # cat /data/wbqas/webtob/config/http.m

  ■ Windows
      cmd > notepad %WEBTOBDIR%\config\http.m

      ※ DirIndex 로 사용할 "DIRINDEX" 절 이름을 설정할 수 있으며 "DIRINDEX" 절은 디렉터리 리스팅(INDEX) 동작 방식 등을 설정하는 절

【 조치방법 】
1. 웹 서비스 설정 파일에서 디렉터리 리스팅 제한 설정 및 Dirindex 설정이 불필요한 경우 삭제
    ※ 각 절 Options 에서 “Index”, “+Index”, “ALL”, “+ALL” 설정을 제거하거나 “-Index” 또는 “-ALL” 설정
2. WebtoB 설정 파일 재컴파일
3. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)