Ένας ιστότοπος δεν είναι απλώς μια αυτόνομη εφαρμογή. Αποτελείται από φακέλους, καταλόγους και σελίδες που περιέχουν οδηγίες και πληροφορίες για μια συγκεκριμένη εργασία ή αίτημα. Όταν αλληλεπιδράτε με έναν ιστότοπο, οδηγείστε σε μια σειρά από καταλόγους. Αλλά δεν είναι όλοι οι κατάλογοι ορατοί σε εσάς. μερικά είναι κρυμμένα από το κοινό. Πώς μαθαίνουν οι χάκερ για τους κρυφούς καταλόγους και τους εκμεταλλεύονται;
Τι είναι το Directory Bursting;
Το Directory bursting (γνωστό και ως brute forcing) είναι μια τεχνολογία διαδικτυακής εφαρμογής που χρησιμοποιείται για την εύρεση και τον εντοπισμό πιθανών κρυφών καταλόγων σε ιστότοπους. Αυτό γίνεται με στόχο την εύρεση ξεχασμένων ή μη ασφαλών καταλόγων ιστού για να διαπιστωθεί εάν είναι ευάλωτοι στην εκμετάλλευση.
Πώς λειτουργεί το Directory Bursting;
Η έκρηξη καταλόγου πραγματοποιείται χρησιμοποιώντας έναν συνδυασμό αυτοματοποιημένων εργαλείων και μιας συλλογής σεναρίων που ονομάζονται λίστες λέξεων. Μερικά από αυτά τα εργαλεία περιλαμβάνουν τα Gobuster, Dirb, FFUF, Dirbuster κ.λπ. Πώς λειτουργεί η έκρηξη καταλόγου;
Τι είναι ένας κατάλογος;
Ένας κατάλογος είναι ένας φάκελος ή μια συλλογή αρχείων που περιέχει πληροφορίες. Χρησιμοποιείται για οργανωτικούς σκοπούς και χρησιμοποιεί ένα ιεραρχικό σύστημα. Οι εφαρμογές Ιστού αποτελούνται από πολλούς καταλόγους και υποκαταλόγους και αυτοί με τη σειρά τους χρησιμοποιούνται για αποθήκευση πληροφορίες όπως στατικά αρχεία HTML, servlets, αρχεία CSS και JavaScript, εξωτερικές βιβλιοθήκες, εικόνες κ.λπ.
Για παράδειγμα, η σελίδα MakeUseOf ενός συγγραφέα θα μπορούσε να διαβάσει "www[dot]makeuseof.com/author/author-name/page/2/" εάν βρισκόσασταν στη δεύτερη σελίδα του προφίλ του συγγραφέα. Το όνομα του ιστότοπου ή του ριζικού καταλόγου είναι "www[dot]makeuseof.com". Έχει έναν υποκατάλογο που αποθηκεύει τα προφίλ και τα έργα των δημιουργών με το όνομα "/author/". Αυτός ο κατάλογος έχει έναν άλλο υποκατάλογο που περιέχει τα έργα του συγκεκριμένου συγγραφέα. Στη συνέχεια, ο επόμενος κατάλογος περιέχει τον αριθμό σελίδας στον οποίο βρίσκεστε.
Η μη αυτόματη πληκτρολόγηση εκατοντάδων ονομάτων καταλόγου σε έναν ιστότοπο για σάρωση για πιθανούς κρυφούς καταλόγους θα ήταν μια χρονοβόρα και μάταιη εργασία. Αντίθετα, οι χάκερ χρησιμοποιούν εργαλεία μαζί με λίστες λέξεων για να αυτοματοποιήσουν τις επιθέσεις που ξεσπούν καταλόγους. Αυτά τα αυτοματοποιημένα εργαλεία είναι συνήθως πολλαπλών νημάτων και λειτουργούν κάνοντας ένα αίτημα HTTP ή HTTPS για κάθε όνομα αρχείου στη λίστα λέξεων. Εάν υπάρχει το όνομα του καταλόγου, ο κωδικός και το όνομα απόκρισης καταγράφονται και εμφανίζονται.
Ένα εργαλείο εκρήξεων καταλόγου ή ωμής επιβολής είναι τόσο καλό όσο η λίστα λέξεων. Μια λίστα λέξεων, όπως υποδηλώνει το όνομα, είναι συνήθως ένα αρχείο .txt που περιέχει χιλιάδες πιθανά ονόματα καταλόγων και αρχείων που πρέπει να σαρωθούν από το εργαλείο brute-forcing καταλόγου. Υπάρχει ένας τεράστιος αριθμός λιστών λέξεων που διατίθενται στο Διαδίκτυο και πολλά εργαλεία δημιουργίας καταλόγων συνοδεύονται επίσης από ενσωματωμένα.
Για την ωμή βία στους καταλόγους ενός ιστότοπου, χρειάζεστε τη διεύθυνση URL του ιστότοπου και μια λίστα λέξεων. Ορισμένα εργαλεία εκρήξεως καταλόγου παρέχουν επιλογές όπως η ταχύτητα, οι επεκτάσεις αρχείων ή σας επιτρέπουν να καθορίσετε ποιο επίπεδο καταλόγων θα σαρώσετε ή να αποκρύψετε συγκεκριμένες λέξεις.
Πώς να προστατέψετε τον ιστότοπό σας από τη διάρρηξη καταλόγου
Η έκρηξη καταλόγου ή η ίδια η ωμή επιβολή δεν είναι επιβλαβής, καθώς απαριθμεί απλώς τους κρυφούς καταλόγους που μπορεί να έχετε στον ιστότοπό σας. Είναι οι πληροφορίες που μπορεί να βρει ένας χάκερ σε αυτούς τους καταλόγους που δημιουργούν τρωτά σημεία στον ιστότοπό σας. Εάν αποθηκεύετε ευαίσθητες πληροφορίες όπως πηγαίο κώδικα ή βάσεις δεδομένων σε καταλόγους χωρίς να επιβάλλετε τα κατάλληλα δικαιώματα, οι χάκερ θα μπορούν να τις εκμεταλλευτούν.
Και ο καθένας μπορεί να είναι ευάλωτος: ακόμη και Διέρρευσε ο πηγαίος κώδικας της Microsoft!
Η πιο κοινή ευπάθεια που μπορεί να προκύψει από την έκρηξη καταλόγου είναι η ευπάθεια του καταλόγου ή της διέλευσης διαδρομής. Αυτή η ευπάθεια επιτρέπει σε έναν χάκερ να έχει πρόσβαση σε αρχεία και καταλόγους που κανονικά δεν θα έπρεπε να έχουν άδεια να το κάνουν. Με τη διέλευση καταλόγου, οι χάκερ είναι σε θέση να διαβάζουν και μερικές φορές να ξαναγράφουν αυθαίρετα αρχεία στην εφαρμογή Ιστού. Το κάνουν αυτό με την κλιμάκωση των προνομίων από δικαιώματα χρήστη σε δικαιώματα root.
Ακολουθούν ορισμένες συμβουλές για να προστατεύσετε τους ιστότοπούς σας από ευπάθειες που εκρήγνυνται καταλόγου:
- Επιβολή δικαιωμάτων αρχείων και καταλόγου.
- Πάντα να επικυρώνετε τους χρήστες και εισαγωγή χρήστη.
- Διατηρήστε ενημερωμένους τους διακομιστές σας και την υποδομή πίσω από αυτούς.
Το brute-forcing καταλόγου όχι μόνο προσδιορίζει κρυφούς καταλόγους στον ιστότοπό σας, αλλά παρέχει επίσης πληροφορίες για τη δομή του ιστότοπού σας—πληροφορίες που θα μπορούσαν να αποδειχθούν χρήσιμες σε έναν έμπειρο χάκερ.
Directory Bursting και Ethical Hacking
Οι ηθικοί χάκερ χρησιμοποιούν εργαλεία διάρρηξης καταλόγου για να μετριάσουν τα τρωτά σημεία προτού τα βρει ένας εγκληματίας του κυβερνοχώρου. Η έκρηξη καταλόγου είναι σημαντική στη φάση απαρίθμησης μιας δοκιμής διείσδυσης ιστού και μπορεί να τη βελτιώσει ασφάλεια ενός ιστότοπου με την εύρεση πληροφοριών σε μια υπηρεσία web που δεν θα πρέπει να είναι προσβάσιμη στο κοινό και αφαιρώντας τα.
Τι είναι η δοκιμή διείσδυσης και πώς βελτιώνει την ασφάλεια δικτύου;
Διαβάστε Επόμενο
Σχετικά θέματα
- Ασφάλεια
- Διαδίκτυο
- Ασφάλεια στο Διαδίκτυο
- Hacking
Σχετικά με τον Συγγραφέα
Η Chioma είναι μια τεχνική συγγραφέας που της αρέσει να επικοινωνεί με τους αναγνώστες της μέσω της γραφής της. Όταν δεν γράφει κάτι, μπορεί να βρεθεί να κάνει παρέα με φίλους, να προσφέρει εθελοντική εργασία ή να δοκιμάζει τις νέες τάσεις της τεχνολογίας.
Εγγραφείτε στο ενημερωτικό μας δελτίο
Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για να εγγραφείτε
