Uno scanner PCI di un client è attualmente in grado di mostrare un potenziale exploit di attraversamento del percorso. La radice del documento è impostata su / home / somefolder / somewebfoldername /
ANCORA, visitando ourwebsite.com/manual viene mostrato il manuale di Apache. Lo stesso vale per ourwebsite.com:8443/manual
L'exploit evidenziato è: ourwebsite.com/manual/howto/ssi.html?..%2F..%2F..%2F..%2F..%2F..%2F..%2F .. % 2F ..% 2F ..% 2F / etc / passwd% 00
Non vedo esattamente come questo mostrerebbe il contenuto di passwd, ma le mie domande effettive sono due volte:
1) Eliminare il contenuto della cartella manuale risolverebbe questo? e 2) È solo mascherando un problema più grande? Pensavo che apache non avrebbe mai raggiunto al di fuori di DocumentRoot?
TIA