Apache Autoindexing模块可能导致泄漏目录列表
发布日期:2001-07-11
更新日期:2001-07-17
受影响系统:
Apache Group Apache 1.3.20
Apache Group Apache 1.3.19
Apache Group Apache 1.3.18
Apache Group Apache 1.3.17
Apache Group Apache 1.3.14
Apache Group Apache 1.3.11
描述:
BUGTRAQ ID: 3009
CVE(CAN) ID:
CVE-2001-0731
Apache的AutoIndex(自动索引)模块会自动对目录进行索引。
如果该目录下存在index.html文件,那么自动索引将显示index.html的内容。
然而,这个模块存在一个可能的问题,如果提交某些特殊命令,可能会泄漏目录
列表,不管index.html文件是否存在。
问题出在<apache dir>/src/modules/standard/mod_autoindex.c :
#define K_NAME 'N' /* Sort by file name (default) */
#define K_LAST_MOD 'M' /* Last modification date */
#define K_SIZE 'S' /* Size (absolute, not as displayed) */
#define K_DESC 'D' /* Description */
#define D_ASCENDING 'A'
#define D_DESCENDING 'D'
<*来源:Kevin (
kevin@brasscannon.net) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
提交如下URL,可能泄漏目录列表:
http://target-webserver/?M=A
http://target-webserver/?S=D
建议:
解决方法:
建议您在httpd.conf中关闭"Index"选项。
浏览次数:3774
严重程度:0(网友投票)