การแจกแจงไดเรกทอรีโดยข้อผิดพลาด CVSS3.1 และการแก้ไข

Aug 20 2020

ลองพิจารณาสถานการณ์นี้ หากฉันเรียกดูhttps://www.example.com/existentdirectoryเว็บแอปพลิเคชันแสดงข้อผิดพลาดนี้ "รายการไดเร็กทอรีถูกปฏิเสธ"

หากฉันเรียกดูhttps://www.example.com/nonexistentdirectoryเว็บแอปพลิเคชันแสดงข้อผิดพลาด "ไม่พบไดเรกทอรีไฟล์"

สำหรับฉันแล้วนี่จะเป็นโอกาสสำหรับผู้โจมตีในการแจกแจงไดเรกทอรีและรับข้อมูลเกี่ยวกับเป้าหมาย

ฉันจะกำหนดเวกเตอร์ CVSS3.1 ต่อไปนี้:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

แต่ส่วนของการฟื้นฟูล่ะ? จำเป็นจริงหรือ? คำแนะนำในการต่อต้านการใช้ข้อผิดพลาดทั่วไปสำหรับทั้งสองคำตอบจะเป็นคำแนะนำหรือไม่

คำตอบ

1 Sibwara Aug 20 2020 at 10:54

เป็นเรื่องยากที่จะกำหนดคะแนน CVSS ที่ถูกต้องเนื่องจากโครงสร้างโครงสร้างภายในไม่ใช่สิ่งที่เราเรียกว่า "ความลับ" ได้
ดังนั้นจึงต้องมีการหารือเกี่ยวกับผลกระทบของการรักษาความลับ

การได้รับข้อมูลเกี่ยวกับเป้าหมายทำให้การโจมตีเพิ่มเติมง่ายขึ้น แต่ไม่ใช่การโจมตี
ความแตกต่างนี้บางครั้งเกิดขึ้นได้จากแนวคิด "ไม่ปฏิบัติตาม" ซึ่งแตกต่างจาก "ช่องโหว่"

การแก้ไขสำหรับตัวอย่างเฉพาะนี้มักจะจับและบันทึกทุกข้อผิดพลาด (ดังนั้นคุณจะได้รับการแจ้งเตือนเมื่อมีข้อผิดพลาด 500 และข้อผิดพลาดที่สำคัญอื่น ๆ ) และเพื่อแสดงข้อความแสดงข้อผิดพลาดทั่วไปที่มีรหัส 200 ตกลงไปยังเบราว์เซอร์
ด้วยวิธีนี้คุณสามารถกำจัดเครื่องสแกนเว็บจำนวนมากได้