Разглашение информации

• Индексирование (просмотр) директорий: индексирование директорий становится возможным при некорректной настройке политик серверной безопасности. Нельзя надеяться на то, что раз ссылка на документ отсутствует, то он недоступен. Специальные программы-сканеры уязвимостей могут динамически формировать адреса и находить спрятанные файлы (конфигурационные файлы, файлы сценариев, резервные копии и т.д.).

• Обратный путь в директориях: атаки этого класса рассчитаны на недочеты в скриптах, подключающих другие файлы и недостаточно проверяющие пути подключаемых файлов, а также на уязвимости самого сервера, такие как отсутствие ограничений на доступ к разным директориям, в том числе разрешение обращения к файлам и каталогам, располагающимся вне директории веб-сервера. Например: 1) Использование обратного пути для доступа к директории: http://example/../../dir; 2) подмена имени файла: в http://example/index.cgi?home=main.htm, main.htm может быть заменен на другой файл.

• Утечка информации: эта уязвимость возникает в ситуациях, когда приложение публикует служебную информацию, например, системные сообщения об ошибках или комментарии разработчиков. Злоумышленник может использовать доступную информацию для получения представления об используемых алгоритмах, запросах к базам данных, структуре каталогов сервера, программном обеспечении для последующей подготовки атаки на сервер.