Knowledge Base
Directory Listing: раскрытие структуры файлов
Опасность directory listing
Категория: Web App Security · Риск: medium
Опасность directory listing
Атакующий видит:
- Все загруженные файлы (включая резервные копии)
- Структуру приложения
- Потенциальные точки входа (.php, .bak, .sql)
Отключение в Nginx
# По умолчанию autoindex выключен
# Убедитесь что нет:
autoindex on; # УДАЛИТЬ эту строку
# Явно отключить:
autoindex off;Отключение в Apache
# В /etc/apache2/apache2.conf
<Directory /var/www/html>
Options -Indexes
</Directory>
# Или в .htaccess:
Options -IndexesПроверка результата
curl -sI https://example.com/uploads/ | head -5
# Ожидаем: HTTP 403 Forbidden (или 404)
# НЕ ожидаем: HTTP 200 с "Index of /uploads"