Exposure of Information Through Directory Listing

Una lista de directorio se expone de forma inapropiada, lo que proporciona información potencialmente confidencial a los atacantes, proporciona al atacante el índice completo de todos los recursos ubicados dentro del directorio. Los riesgos y consecuencias específicos varían según los archivos enumerados y accesibles.

Algunos ejemplos comunes incluyen:

  • Nombres de archivos y subdirectorios: Esto puede revelar información sensible sobre la estructura del sistema, aplicaciones web instaladas, bases de datos o datos que se almacenan en esos directorios.

  • Versiones de software: Exponer las versiones de software puede ayudar a los atacantes a identificar vulnerabilidades conocidas en ese software.

  • Archivos sensibles no ocultos: Errores de configuración o falta de ocultamiento de ciertos archivos puede revelar datos confidenciales como contraseñas, claves API, configuraciones o resultados de procesos.

  • Mensajes de error: Los mensajes de error del servidor web o de aplicaciones locales pueden contener información técnica valiosa para los atacantes, como rutas de archivos, nombres de base de datos o errores internos.

  • Metadatos de archivos: Algunos archivos contienen metadatos incrustados que pueden revelar información adicional, como fecha de creación, autor, comentarios o incluso versiones antiguas del contenido.

Recursos

LogoCWE - CWE-548: Exposure of Information Through Directory Listing (4.6)
LogoDirectory listing
LogoExposure of information through directory listing | GitLab
AnteriorInclusion of Sensitive Information in Source CodeSiguienteExposure of Resource to Wrong Sphere

Última actualización