规则描述:
如果访问NGINX下的一个web应用,如果输入是一个目录名,而且该目录下没有一个默认访问文件,那么Nginx会将该目录下的所有文件列出来,这种敏感信息泄露是 严格禁止的。Nginx默认的是关闭目录列表,但是为了程序调试方便,部分程序员也有可能开启这一功能。因此,要确认该项配置是否正确。
根据:
审计描述:
检查nginx.conf文件,是否存在以下配置:
http {
...
autoindex off;
...
}
修改建议:
在配置文件Nginx.conf中,修改autoindex参数的值为off。或者该参数没有出现(默认情况下是关闭目录列表功能):
在location server段或者http段,
http {
...
autoindex off;
...
}