Andesi - forum
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 02/08/2010 21:11:16
- kokoro
- Membre
- Inscription : 17/08/2006
- Messages : 15
index of
Bonsoir à tous;
J'ai un serveur qui tourne bien sous debian etch.
j'heberge plusieurs sites web.
Le hic c'est que quand un internaute pointe sur une page qui n'a pas de fichier index.php ou index.html ..., j'ai une page avec comme titre index of avec le nom du repertoire qui s'affiche.
C'est sûrement un faille de sécurité.
Pourriez vous me donner quelques tuyaux pour que la page ramène un message d'erreur ?
Merci
Hors ligne
#2 02/08/2010 22:36:10
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : index of
bonsoir,
Je ne sais pas quel serveur web tu utilises. Le problème que tu décris me fait penser au cas où l'internaute pointe sur un répertoire ne contenant pas de fichier à afficher par défaut.
De mémoire, sous Apache (version ?), la directive
Option -Indexesdans une section <Directory ...> permet de ne pas lister le contenu du répertoire. Essaye de voir ce qui correspond pour le serveur web que tu utilises ...
Je ne pense pas que ce soit une faille de sécurité. C'est plutôt une fonctionnalité utile sur un serveur de test, à désactiver sur un serveur de prod sauf si tu veux mettre des fichiers à télécharger dans un répertoire, ça évite de devoir générer une liste des fichiers à la main (et de la régénérer quand on ajoute ou supprime un fichier).
En espérant avoir donné une piste.
Armen, préparant ses valises ...
Dernière modification par armen (02/08/2010 22:44:31)
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#3 03/08/2010 09:37:09
- kokoro
- Membre
- Inscription : 17/08/2006
- Messages : 15
Re : index of
Merci pour ton soutien.
Je suis sous apache2. Je crois personnellement que ce n'est pas une faille de sécurité mais certains me disent que si.
Peux me donner la méthode pour désactiver ?
Hors ligne
#4 03/08/2010 15:07:00
- armen
- Membre
- Lieu : 48°03'03" N - 04°59'55" W
- Inscription : 09/03/2004
- Messages : 1 937
Re : index of
Bonjour,
Je pensais que j'en avais dis assez ... (apprendre à pêcher plutôt que de donner du tout cuit ...).
Apache se configure via des fichiers, situés habituellement dans le répertoire /etc/apache2 chez Debian. Le fichier qui contient les paramètre du serveur Apache2 est apache2.conf.
En fait, sur mon poste de travail, ce fichier contient des include qui pointent sur les fichiers contenant les paramètres. Celui qui nous intéresse est dans le répertoire /etc/apache2/sites-enabled/ et s'appelle 000-default, dont voici un extrait.
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
J'ai créé un répertoire test007, si j'essaye d'afficher http://127.0.0.1/test007, j'ai une belle page dont le titre est "Index of /test007" et listant les fichiers que j'ai mis dans ce répertoire (pas la peine de cliquer sur le lien que FluxBB a reconnu, ça marchera pas 
)
Si je remplace l'option Indexes par -Indexes dans le paragraphe extrait ci-dessus, après un sudo /etc/init.d/apache2 reload, là Apache est moins coopératif et me renvoie une erreur 403 Forbidden.
Maintenant, parlons de la pseudo faille de sécurité : Je souhaite que sur mon site par défaut on tombe en 403 si pas de pages d'index et sur un répertoire particulier (appelons le test006 et considérons qu'il est placé à la racine de mon site), j'autorise Apache à lister le contenu du répertoire. Je vais donc modifier le fichier cité ci-dessus comme suit :
<Directory /var/www/>
Options -Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
<Directory /var/www/test007>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
Il me semble que ce genre ce comportement est plus près de la fonctionnalité que de la faille (d'autant qu'on se traîne cette faille depuis des lustres, ce qui voudrait dire que les développeurs d'Apache sont incapables de la corriger ??? ).
La config d'Apache, utilisée pour les exemples ci-dessus, est celle qu'on trouve de base après avoir installé le paquet apache2 sur une Ubuntu 8.04 LTS (Oui, je sais, c'est pas une vraie Debian 
). Les exemples cités sont à prendre en tant qu'exemple (d'après ce que j'ai lu il y a quelques années, le FollowSymLinks peut aussi conduire à des problèmes de sécurité). je ne suis pas un expert dans la configuration d'Apache, loin de là. Si un gourou Apache vient à passer, qu'il me corrige (pas trop fort quand même, hein ! )
J'espère que cela répond à tes attentes, sinon tu peux toujours une autre question.
Armen un peu fatigué d'avoir barboté ce midi.
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
#5 03/08/2010 17:19:32
- tux12
- Membre
- Inscription : 17/03/2007
- Messages : 30
Re : index of
Bonjour,
Concernant l'aspect "faille de sécurité", il me semble que le problème que soulève l'accès au listing des répertoires est surtout que cela divulgue des informations qui peuvent être utiles à l'attaquant. Je pense par exemple à des logiciels qui ont un interface de gestion web et qui comptent justement sur la méconnaissance du nom de répertoire dans lequel se situe la page d'accès pour en assurer ou au moins en renforcer la sécurité. Je n'ai plus le détail en tête, mais j'en ai trouvé un qui fait cela en testant plusieurs solutions de boutique en ligne dernièrement. Cela évite aussi que l'on puisse avoir accès à la liste des fichiers d'un répertoire en demandant un fichier qui n'existe pas.
Donc il ne s'agit pas à mon avis d'une faille de sécurité d'Apache au sens propre, mais de la diminution du niveau de sécurité par obfuscation.
tux12 qui fait de l'intrusion dans ce fil. 
Dernière modification par tux12 (03/08/2010 18:15:32)
Hors ligne
#6 03/08/2010 18:18:55
- ioguix
- Administrator
- Lieu : Paris
- Inscription : 25/04/2003
- Messages : 3 945
Re : index of
Heh
Mouai, non, le directory listing est une fonctionnalité à part entière voilà tout.
Après, ce dernier est configurable il me semble pour éviter d'exposer des infos non désirées qui le sont pas défaut (genre avec les fichiers HEAD, FOOT et README si ma mémoire est bonne ?).
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
#7 03/08/2010 23:08:08
- tux12
- Membre
- Inscription : 17/03/2007
- Messages : 30
Re : index of
Bonjour ioguix,
Oui, tout à fait, le directory listing est une fonctionnalité qui peut s'avérer très utile si on a un dossier de documents qui ne sont pas au format html; ça évite de devoir créer et maintenir à jour une page d'index. Mais cette fonctionnalité introduit une augmentation des risques à cause de la mise à disposition de plus d'informations que si le serveur te renvoie un 403 ou 404 (en masquant sa version... ). C'est pour cette raison je crois que certains associent (confondent?) cette fonctionnalité à une faille de sécurité.
Euh pour les README, HEADER... je ne connais pas, j'ai donc cherché un peu, ça me semble se limiter à des inclusions (donc des ajouts d'info 
) dans le directory listing généré. Il reste, pour ce que j'ai compris du lien, la solution du IndexIgnore sélectif.
Allez, je laisse la place à kokoro.
Et merci à armen que je n'envisageais aucunement de corriger.
Dernière modification par tux12 (03/08/2010 23:09:10)
Hors ligne
#8 04/08/2010 09:42:59
- ioguix
- Administrator
- Lieu : Paris
- Inscription : 25/04/2003
- Messages : 3 945
Re : index of
Mh,
Bon, suite à ta recherche, j'ai aussi fais la mienne vite fait.
Alors pour la signature du serveur, il suffirait juste de configurer proprement ServerTokens et ServerSignature.
Ensuite, pour le directory listing, comme on peut réécrire comme cela toute la partie HTML avant et après le listing (et même customiser les icones etc), on peut j'imagine dégager la version d'apache sur la page.
Enfin, si le problème est de trouver la version du serveur (ce qui est souvent une première étape en sécu), cette simple commande me crache le serveur utilisé et éventuellement sa version:
wget --save-headers www.leSiteQueVousVoulez.org -O - 2> /dev/null | grep Server
Bref... on s'amuse on s'amuse
/me retourne jouer avec son postgresql.
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
#9 08/08/2010 21:37:08
- Tihz
- Membre
- Lieu : Paname
- Inscription : 02/11/2006
- Messages : 876
Re : index of
Salut,
Non indexes n'est pas une faille de sécurité en soi. C'est juste la configuration de ton apache qui peut amener à ce que s'en soit une. Pour moi, ce serait comme dire que le sudo était une faille de sécurité, en effet, s'il est mal configuré, il peut mettre gravement en péril le système.
Bon en tout cas, oui c'est bien la variable indexes qui permet d'avoir le listing, là dessus tout le monde est d'accord.
Ce qu'il y a de bien avec les standards, c'est qu'il y en a beaucoup entre lesquels choisir.
Hors ligne
#10 09/08/2010 01:24:57
Re : index of
Salut,
Si tu veux un exemple de Indexes en action: http://files.orgrim.net
"First they ignore you, then they ridicule you, then they fight you, then you win."
-- Mahatma Gandhi
Hors ligne