先日の2ちゃんねる壊滅騒ぎ、そのまとめで気になったのがこの一文。
・ただ、/test/sss以下の全ファイルのリストがApache(サーバーの内部ソフト)の設定ミスで見れるようになっていた。
モペキチまとめwiki - 2ちゃんねる壊滅?
Index of (ディレクトリ内のファイル一覧)ページが見れるようになっているサイトってたまに見かける気がします*1。
よくある例だと、画像やPDFを置くディレクトリを公開するついでに Index of も見れるようになっている、とか。
この状態は危険だと思うんですが*2、わざわざチェックしていることは少ないようです。
でも、これって簡単にチェックできそうだなぁ、ということで作ってみました。
Directory Traversal
指定したページ内に含まれるリンクからたどれるディレクトリに順次アクセスし、 HTTP応答コード:200(OK)が返ってくるディレクトリを探します。例:
ページ内に http://www.example.com/foo/bar/baz.jpg というリンクがあった場合にアクセスし、200(OK)が返ってくるか確認します。
もし本来は応答が返らないはずのディレクトリで200が返ってきていたら、サーバの設定に問題があるかもしれません。
そのURLで表示される内容の確認をお勧めします。
ダウンロードは こちら(Directory Traversal) からどうぞ!
ページ内からリンクを抽出するところが単純な正規表現なので、あまり精度が高くないです。
でも、簡易チェックぐらいにはなるかと思います。
なお、このツールは開発者用です。
自身が管理しているページ以外で実行しないでください。
