Anomalie #16809
ferméPossibilité de lister le contenu des répertoires web publics
Description
Malgré la directive Options -Indexes de l'hôte virtuel, il reste possible de lister le contenu des répertoires contenant des ressources statiques publiques,
typiquement dans le répertoire /web/public, par exemple https://maarchrm/public
Par extension, ceci permet de connaître la structure du répertoire et des plugins utilisés pour l'IHM ce qui constitue une vulnérabilité de type "Information Disclodure".
Analyse
La directive Options -Indexes fonctionne bien, mais la réécriture des URL outrepasse à cause du test d'existence des fichiers publiques:
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_URI} ^/public [NC]
Il semble que le second test soit problématique car il annule le premier ET la directive -Indexes en permettant localement
de servir les répertoires.
Il est par ailleurs inutile puisqu'on ne sert que des fichiers qui répondent déjà au premier test.