目录列表

描述：目录列表

beplay体育能用吗可以将Web服务器配置为自动列出没有索引页面的目录内容。这可以通过使攻击者能够快速识别给定路径上的资源来帮助攻击者，并直接进行分析和攻击这些资源。它特别增加了目录中敏感文件的曝光，而用户（例如临时文件和崩溃转储）不打算访问。

目录清单本身不一定构成安全漏洞。在任何情况下，任何敏感的资源都应适当访问控制，并且不应被恰好知道或猜出beplay体育能用吗URL的未经授权的政党访问。即使禁用目录列表，攻击者也可能会使用自动化工具猜测敏感文件的位置。

修复：目录清单

通常没有任何充分的理由提供目录清单，而禁用它们可能会在攻击者的道路上放置其他障碍。通常可以通过两种方式实现：

• 配置您的Web服务器，以防止Wbeplay体育能用吗eb根部下方所有路径的目录列表；
• 放入每个目录中一个默认文件（例如index.htm），该文件将显示Web服务器，而不是返回目录列表。beplay体育能用吗

参考

• beplay体育能用吗网络安全学院：通过目录列表的信息披露

脆弱性分类

• CWE-538：文件和目录信息曝光
• CWE-548：通过目录列表的信息曝光
• CAPEC-37：检索嵌入式敏感数据

典型的严重程度

信息

类型索引（HEX）

0x00600100

类型索引（十进制）

6291712