Qu'est-ce qu'une faille Directory Indexing ?


Exemple d'Index Apache pour illuster la faille Directory Indexing

Le Directory Indexing (aussi appelé Directory Browsing ou Listing) est le fait de donner la possibilité aux visiteurs d’avoir accès aux index. C’est-à-dire que l’utilisateur peut afficher et télécharger le contenu d’un répertoire situé sur un serveur.

Le danger c’est que l’attaquant peut avoir accès à tous les fichiers présents dans l’architecture de notre application web. Cela peut donner aux utilisateurs l'accès à des informations auxquelles ils n'ont normalement pas accès comme les fichiers de configuration. Ces derniers contiennent des informations relatives à la base de données ou autres services tiers utilisés par l’application, il est donc préférable qu’ils ne soient pas exposés sur internet.


Comment se protéger contre les failles Directory Indexing ?


La résolution de ce problème se passe côté serveur. Il suffit d’indiquer au serveur web de ne pas lister les répertoires. Pour ce faire il faut modifier le fichier de configuration Apache et rajouter l’option « Options -Indexes ». Il est aussi possible de rajouter cette option dans un fichier « .htaccess », cependant il est plutôt conseillé de modifier directement le fichier de configuration.

Si vous êtes sur un serveur Nginx il faut rajouter les lignes suivantes dans le fichier de configuration :

location /{YOUR DIRECTORY} {
autoindex off;
}