【セキュリティ】ディレクトリ・リスティングとは【使い方間違えると危険】

セキュリティ

みなさんこんにちは、ちょいまけです。

今回は「ディレクトリ・リスティング」について説明します。

ディレクトリ・リスティングは脆弱性ではなく、Webサーバーの機能の1つなのですが、使い方を誤ると大きな損害を引き起こしてしまう機能です。

ディレクトリ・リスティングとはどんな機能か、使い方を誤った場合の危険性とその対策について紹介します。

ディレクトリ・リスティングとは

ディレクトリ・リスティングとはURLでディレクトリを指定することでディレクトリに含まれるファイル一覧を表示するWebサーバの機能のことです。

ディレクトリ・リスティング機能はファイルをダウンロードできるサイトで使われたりします。以下の画面がディレクトリ・リスティングで見るWebページの例です。

ESL Yes 1,600 Free ESL Short Stories, Exercises, Audio より

✳︎なお上記の画像のページに関しては、音声のダウンロードページであり今回紹介する危険性には該当しませんのでご注意下さい。

ディレクトリ・リスティングの危険性

ディレクトリ・リスティングはファイルダウンロード用のページで使われる分には問題ありません。しかしそれ以外のページでこの機能が利用されると、以下の情報漏洩の問題が発生します。

  • 公開を意図していないファイルの漏洩
  • サーバー設定情報の漏洩
  • サービスでのスクリプトファイルによる内部処理情報の漏洩

上記のリスクを回避するため、必要が無い場合においては機能をoffにする必要があります。

対策

ディレクトリ・リスティングはサーバーの設定ファイルでon/offを切り替えることができます。必要が無い場合はディレクトリ・リスティング機能ををoffに設定して下さい。

さいごに: 一度はやるよね

人生で初めてWebサーバー立ち上げた時、ディレクトリの中身が全部表示されて「???!!!」って思ったことを凄く覚えています。

「この現象何だろう…」と思いながらこの記事書くまで放置していましたが、やっと謎が解けて満足です。

とりあえずサーバー内のファイルを見られてもメリットは無いので、必要が無い場合はディレクトリ・リスティングの設定を必ずoffにしましょう。

今回は以上です。
最後まで読んでいただきまして、ありがとうございました。

コメント

タイトルとURLをコピーしました