Un site web nu este doar o aplicație independentă. Este compus din foldere, directoare și pagini care conțin instrucțiuni și informații pentru o anumită sarcină sau cerere. Când interacționați cu un site web, sunteți condus printr-o serie de directoare. Dar nu toate directoarele sunt vizibile pentru tine; unele sunt ascunse publicului. Cum ajung hackerii să cunoască directoarele ascunse și cum le exploatează?

Ce este Directory Bursting?

Directory bursting (cunoscut și sub numele de director brute forcing) este o tehnologie de aplicație web folosită pentru a găsi și identifica posibile directoare ascunse în site-uri web. Acest lucru se face cu scopul de a găsi directoare web uitate sau nesecurizate pentru a vedea dacă sunt vulnerabile la exploatare.

Cum funcționează directorul de spargere?

Ruperea directoarelor se realizează folosind o combinație de instrumente automate și o colecție de scripturi numite liste de cuvinte. Unele dintre aceste instrumente includ Gobuster, Dirb, FFUF, Dirbuster etc. Cum funcționează spargerea directoarelor?

instagram viewer

Ce este un director?

Un director este un folder sau o colecție de fișiere care conțin informații. Este folosit în scopuri organizaționale și utilizează un sistem ierarhic. Aplicațiile web sunt alcătuite din multe directoare și subdirectoare și acestea la rândul lor sunt folosite pentru stocare informații precum fișiere HTML statice, servlet-uri, fișiere CSS și JavaScript, biblioteci externe, imagini etc.

De exemplu, pagina MakeUseOf a unui autor ar putea citi „www[dot]makeuseof.com/author/author-name/page/2/” dacă te aflai pe a doua pagină a profilului autorului. Numele site-ului sau al directorului rădăcină este „www[dot]makeuseof.com”. Are un subdirector care stochează profilurile autorilor și lucrările numite „/autor/”. Acest director are un alt subdirector care conține lucrările autorului respectiv. Apoi, următorul director conține numărul paginii în care vă aflați.

Introducerea manuală a sutelor de nume de directoare într-un site web pentru a scana posibile directoare ascunse ar fi o sarcină inutilă și consumatoare de timp. În schimb, hackerii folosesc instrumente alături de liste de cuvinte pentru a automatiza atacurile de spargere a directoarelor. Aceste instrumente automate sunt de obicei multifile și funcționează prin efectuarea unei cereri HTTP sau HTTPS a fiecărui nume de fișier din lista de cuvinte. Dacă numele directorului există, codul de răspuns și numele sunt înregistrate și afișate.

Un instrument de spargere a directorului sau de forțare brută este la fel de bun ca lista de cuvinte. O listă de cuvinte, după cum sugerează și numele, este de obicei un fișier .txt care conține mii de nume posibile de directoare și fișiere care trebuie scanate de instrumentul de forțare brută a directorului. Există un număr mare de liste de cuvinte disponibile pe internet și multe instrumente de spargere a directoarelor vin cu unele încorporate.

Pentru a forța brutală directoarele unui site web, aveți nevoie de adresa URL a site-ului web și de o listă de cuvinte. Unele instrumente de spargere a directoarelor oferă opțiuni precum viteza, extensiile de fișiere sau vă permit să specificați ce nivel de directoare să scanați sau să ascundeți anumite cuvinte.

Cum să vă protejați site-ul web de spargerea directorului

Ruperea directoarelor sau forțarea în sine nu este dăunătoare, deoarece doar enumera directoarele ascunse pe care le puteți avea pe site-ul dvs. Informațiile pe care le-ar putea găsi un hacker în acele directoare sunt cele care creează vulnerabilități în site-ul dvs. Dacă stocați informații sensibile, cum ar fi codul sursă sau bazele de date în directoare, fără a aplica permisiunile adecvate, hackerii ar putea exploata asta.

Și oricine poate fi vulnerabil: chiar și Codul sursă al Microsoft a fost scurs!

Cea mai comună vulnerabilitate care ar putea apărea în urma spargerii directoarelor este vulnerabilitatea de traversare a directorului sau a căii. Această vulnerabilitate permite unui hacker să acceseze fișiere și directoare pe care în mod normal nu ar trebui să aibă permisiunea de a face acest lucru. Cu traversarea directoarelor, hackerii pot citi și uneori rescrie fișiere arbitrare pe aplicația web. Ei fac acest lucru prin escaladarea privilegiilor de la privilegii de utilizator la privilegii de root.

Iată câteva sfaturi pentru a vă proteja site-urile web împotriva vulnerabilităților de spargere a directoarelor:

  • Aplicați permisiunile pentru fișiere și directoare.
  • Validați întotdeauna utilizatorii și intrarea utilizatorului.
  • Țineți-vă serverele și infrastructura din spatele lor la zi.

Forțarea brută a directoarelor nu numai că identifică directoarele ascunse de pe site-ul dvs. web, dar oferă și informații despre structura site-ului dvs.⁠ - informații care s-ar putea dovedi utile unui hacker calificat.

Rupere de directoare și hacking etic

Hackerii etici folosesc instrumente de spargere a directoarelor pentru a atenua vulnerabilitățile înainte ca un criminal cibernetic să le găsească. Ruperea directorului este importantă în faza de enumerare a unui test de penetrare web și poate îmbunătăți securitatea unui site web prin găsirea de informații despre un serviciu web care nu ar trebui să fie accesibil publicului și îndepărtându-le.

Ce este testarea de penetrare și cum îmbunătățește securitatea rețelei?

Citiți în continuare

AcțiuneTweetAcțiuneE-mail

Subiecte asemănătoare

  • Securitate
  • Internet
  • Securitate online
  • Hacking

Despre autor

Chioma Ibeakanma (22 articole publicate)

Chioma este un scriitor tehnic căruia îi place să comunice cu cititorii ei prin scrisul ei. Când nu scrie ceva, poate fi găsită petrecând cu prietenii, făcând voluntariat sau încercând noi tendințe tehnologice.

Mai multe de la Chioma Ibeakanma

Aboneaza-te la newsletter-ul nostru

Alăturați-vă buletinului nostru informativ pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Click aici pentru a te abona