Directory Listing (Dirlisting) adalah fungsi server web yang menampilkan daftar semua file ketika tidak ada file indeks, seperti index.php, index.html dan default.asp dalam direktori situs web tertentu.
Misalnya, ketika pengguna meminta www.nakanosec.com/image/ tanpa menentukan nama file, server web akan memproses permintaan ini dan akan menampilkan file indeks untuk direktori itu dan situs web yang sebenarnya akan muncul. Namun, jika file indeks tidak ada, server web akan mengembalikan daftar isi direktori itu. Fungsionalitas ini dapat diparalelkan dengan perintah daftar direktori di baris perintah sistem operasi, seperti 'ls' pada sistem Unix dan Linux dan 'dir' pada Windows. Selain itu, perlu dicatat bahwa Daftar Direktori mungkin disebabkan juga dengan mengeksploitasi kerentanan perangkat lunak menggunakan permintaan khusus (payload).
Dampak Kerentanan Directory Listing (Dirlisting)
Information Disclosure / Sensitive Information Disclosure
Dimana sesorang dapat melihat informasi file yang ada dalam folder. Hal ini dapat menjadi sangat fatal jika didalam folder tersebut terdapat file seperti backup sql, backup config, foto user (dalam hal ini nama file foto random)
Cara Mencari Bug Dirlisting
Untuk mencari kerentanan dirlisting sangat mudah yaitu menggunakan tools acunetix ataupun menggunakan dork dari dirlisting seperti berikut.
intext: "index of " site:nakanosec.com
Google Indexing Sensitive Information Disclosure
Seringkali pennyerang (umumnya defacer) menggunakan google dork dalam melakukan penyerangan. Hal ini mengakibatkan web yang mempunyai kerentanan dir listing lebih mudah terindex dan terkena seranngan karena file file yang ada di dalam folder akan di index oleh google.
Patching
Memberi password pada directory
Membuat disable dirlisting dengan .htaccess
Disable dirlisting via panel
Disable dirlisting via panel