2016年04月09日

3. ミドルウェアの初期設定(自動インデックス生成機能)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
外部に公開するミドルウェアの初期設定をそのままにしていたため、
自動インデックス生成機能が有効となり、意図しないファイルが公開されていた。

【(想定)被害内容】
機密情報が流出する。

【対策内容】
自動インデックス生成機能を無効にする。
参考 : Apacheを設定する(httpd.conf)
また、Tomcatの場合(Apacheをフロントエンドとする前提)、web.xmlに
-----
<welcome-file-list>
<welcome-file>welcome.jsp</welcome-file>
</welcome-file-list>
-----
を追記し、welcome.jspを作成する。
-----
<%@ page contentType="text/plain; charset=UTF-8" %>
<%
response.sendError(response.SC_FORBIDDEN);
%>
-----

【関連する記事】
posted by red at 23:32| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック