CVS_00183.002 - AppSec Flow: Vulnerabilidade - MacOS X Finder revela o conteúdo dos diretórios web do Apache.

Question

CVS_00183.002 - AppSec Flow: Vulnerabilidade - MacOS X Finder revela o conteúdo dos diretórios web do Apache.

conviso-platform-dev opened this issue 4 years ago · 0 comments

conviso-platform-dev commented 4 years ago

ID: CVS_00183.002

Categoria: CWE-200 Information Exposure

Reportado por: Tiago Cassio da Conceição

Projeto: tiagocassio/tasks_app

Criticidade:

Impacto: Alto

Probabilidade: Médio

Criticidade: Alto

Padrões: N/A

Descrição: Foi localizado no website um arquivo gerado pelo utilitário de busca do sistema operacional MacOS X que revela para o atacante todo o conteúdo do diretório onde este arquivo se encontra. Com essa informação um atacante pode fazer download de arquivos que não seriam visualizados através do site mas que estão armazenados no diretório do website.

Descrição do Impacto: Aguardando preenchimento

Solução: Utilizar a diretiva <FilesMatch> do arquivo httpd.conf para proibir o download do arquivo ".DS_Store" gerado automaticamente pelo FINDER do sistema operacional MacOS X.

Inclua as linhas abaixo no arquivo httpd.conf do apache:
<FilesMatch ’^.[Dd][Ss]_[Ss]’>
Order allow, deny
Deny from all
</FilesMatch>
Reinicie o apache.

Referência: http://www.iss.net/security_center/reference/vuln/HTTP_Apache_Macros_dir.htm
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2001-1446

Tipo de falha:

**Protocolo:**HTTP

**Método:**GET

**URL:**http://localhost:3000

Parametros:

Passo a Passo:

TEST

**Requisição:**TEST

**Resposta:**TEST

Defect Tracker: https://app.conviso.com.br/scopes/11/projects/3915