Uno de los fallos tontos habituales a la hora de crear aplicaciones web seguras es mostrar la estructura de directorios y ficheros de la web.
Algunos ficheros se guardan temporalmente en directorios con nombre generado aleatoriamente pero que en caso de conocerse pueden servir como información extra a la hora de aprovecharse de una vulnerabilidad previamente conocida.
Aún teniendo en cuenta esto, uno es muy despistado y se suele olvidar de cómo se hace o directamente de que tiene que hacerlo. La manera más sencilla de evitarlo es mediante .htaccess y la opción Indexes, solamente hace falta añadir esto al .htaccess:
Option -Indexes
Y no se harán listados de los directorios.
Comentarios