Las aplicaciones web ocasionalmente usan valores de parámetros para almacenar la ubicación de un archivo que luego será requerido por el servidor. Un ejemplo de esto se ve a menudo en las páginas de error, donde la ruta del archivo real para la página de error se almacena en un valor de parámetro, por ejemplo, `URL.com/error.php? Page = 404.php`.

CVE:
Factor de Riesgo: Bajo
Valor CVSS Base: 2.1

Solución

Solución No. 1  Servidores apache
  1. Cree un archivo .htaccess que contenga la siguiente línea:Options -Indexes
  2. Edite su archivo de configuración de apache. Para hacerlo, primero debe abrirlo con el comando:vim /etc/httpd/conf/httpd.conf
  3. Luego busque la línea: Options Indexes FollowSymLinks, cambie esa línea por Options FollowSymLinks
  4. Guarde y salga del archivo
  5. Reinicie el servidor apache con este comando: sudo service httpd restart

Una de las cosas importantes es configurar un servidor web apache seguro es deshabilitar la exploración de directorios. De forma predeterminada, apache viene con esta función habilita-da, pero siempre es una buena idea desactivarla a menos que realmente la necesite. Abra el archivo httpd.conf en la carpeta Apache y busque la línea que se ve como sigue: Options Includes Indexes FollowSymLinks MultiViews.

Después elimine la palabra indexes y guarde el archivo y reinicie apache. Si usted decide defi-nitivamente modificar el archivo httpd.conf y tiene varias opciones de directivas, entonces debe agregar un o un + antes de cada directiva; ejemplo:Options -Indexes +FollowSymLinks.

Solución No. 2 Deshabilitar la exploración de archivos en sitios IIS

Puede realizar este procedimiento utilizando la interfaz de usuario (UI), ejecutando comandos Appcmd.exe en una ventana de línea de comandos, editando archivos de configuración directamente o escribiendo scripts WMI.

Interfaz de usuario
  1. Abra el Administrador de IIS y navegue hasta la raíz que desea administrar. Para obtener información sobre cómo navegar a ubicaciones en la interfaz de usuario, consulte Na-vegación en el Administrador de IIS.
  2. En Features View, doble click Directory Browsing
  3. En el apartado Actions, haga click en enable si el Directory Browsing esta deshabilitada y desea ha-bilitarlo o haga click en disable si la característica Directory Browsing esta habilitado y desea activarlo.
Appcmd.exe

Para habilitar o deshabilitar la exploración de directorios, utilice la siguiente sintaxis:  appcmd set config /section:directoryBrowse /enabled:true|false
Para deshabilitar la exploración de directorios, escriba lo siguiente en Appcmd.exe y luego presione ENTRAR: appcmd set config /section:directoryBrowse /enabled:false

Referencias

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc753433(v=ws.10)

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like