디렉터리 인덱싱(Directory Indexing)

✅ 웹 서버가 특정 디렉토리의 파일 목록을 그대로 보여주는 취약점

✅ 공격자가 웹 서버의 디렉토리 구조와 내부 파일 목록을 확인할 수 있게 되어, 그 파일을 직접 열람하거나 다운로드할 수 있는 위험성이 있음

✅ 발생이유 : 웹 서버(Apache, Nginx 등)에서 디렉토리 인덱싱 기능이 활성화되어 있음

 

✅ 수동 디렉토리 탐색(디렉토리 브라우징)

• 도구 없이 웹사이트 URL 구조를 분석하면서 활성화되어있는지 수동 확인

 

 웹페이지 url 뒤에 login을 삭제해보면 다음과 같이 존재하는 파일들을 볼 수 있다.

 

또한, project도 제외하면 상위에 어떤 파일이 존재하는 지 확인이 가능하다.

 

 

✅ nikto 툴 활용하여 디렉토리 인덱싱 확인

nikto -h "ip/domain"

 

✅ Directory indexing found. 가 여러 개 나오는 이유

• 스캔 대상 웹 서버에 여러 개의 디렉터리가 존재하고, 각각의 디렉터리에서 인덱싱이 활성화되어 있기 때문

 

✅ 대응방안 - 시큐어코딩

• httpd.conf 나 .htaccess 파일 수정해 비활성화 옵션 설정

<Directory "/var/www/html">
    Options -Indexes
</Directory>