按错误枚举目录。CVSS3.1和补救

Question

让我们考虑一下这个场景。如果我浏览到https://www.example.com/existentdirectory，web应用程序就会显示这个错误“目录列表被拒绝”。

如果我浏览到https://www.example.com/nonexistentdirectory，web应用程序就会显示“找不到文件目录”这个错误。

对我来说，这将是攻击者枚举目录和获取目标信息的机会。

我将分配以下CVSS3.1向量：

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

但是补救部分呢？真的需要吗？对这两种答复使用通用错误会否适得其反？

Answer 1

很难确定一个正确的CVSS评分，因为内部树结构并不完全是我们可以称之为的“秘密”。

因此，必须讨论保密的影响。

获取关于目标的信息可以使进一步的攻击变得更简单，但它不是攻击。

与“脆弱性”不同的是，“不遵守”的概念有时体现了这种差异。

此特定示例的补救措施通常是捕获和记录每个错误(因此，当出现错误500和其他重要错误时会通知您)，并向浏览器显示带有代码200 OK的通用错误消息。

这样，你也可以摆脱许多网络扫描器。