Apache MultiViews file discovery

Lexikon webových zranitelností

zpět
Název: Apache MultiViews file discovery
Zařazení: Únik informací
Závažnost: Informační - Nízká

Popis:

Webový server Apache umožňuje prostřednictvím svého modulu mod_negotiation využívat MultiViews pro výběr uživatelem preferovaného obsahu. V praxi se MultiViews používá nejčastěji u vícejazyčných webových aplikací, které vrací obsah souborů s požadovanou jazykovou mutací obsahu na základě HTTP request hlavičky Accept-Language.

MultiViews se navíc rozhoduje o volbě vráceného obsahu i na základě jiných HTTP hlaviček, například Accept. V případě, kdy je požadován konkrétní soubor, ale hodnota hlavičky Accept vyžaduje neexistující typ souboru, vrací server nabídku alternativních zdrojů (soubory s dostupnými příponami). Toto chování umožňuje útočníkům odhalit na serveru poměrně snadno například záložní soubory.

Starší verze Apache navíc neošetřuje názvy souborů při výstupu do stránky s alternativními zdroji a umožňuje tak spuštění libovolného kódu Javascriptu - XSS a útoky typu HTTP Response Splitting.

Pokud tedy MultiViews cíleně nevyužíváte, ale přesto jej máte na serveru povolen, doporučujeme jeho vypnutí.

Související: