Уебсайтът не е просто самостоятелно приложение. Състои се от папки, директории и страници, които носят инструкции и информация за конкретна задача или заявка. Когато взаимодействате с уебсайт, вие преминавате през серия от директории. Но не всички директории са видими за вас; някои са скрити от обществеността. Как хакерите се запознават със скритите директории и ги експлоатират?

Какво е разрушаване на директории?

Разрушаването на директории (известно още като грубо принудително използване на директории) е технология за уеб приложения, използвана за намиране и идентифициране на възможни скрити директории в уебсайтове. Това се прави с цел намиране на забравени или незащитени уеб директории, за да се види дали те са уязвими за експлоатация.

Как работи разрушаването на директории?

Разрушаването на директории се извършва с помощта на комбинация от автоматизирани инструменти и колекция от скриптове, наречени списъци с думи. Някои от тези инструменти включват Gobuster, Dirb, FFUF, Dirbuster и др. Как работи разрушаването на директории?

instagram viewer

Какво е директория?

Директорията е папка или колекция от файлове, съдържащи информация. Използва се за организационни цели и използва йерархична система. Уеб приложенията са съставени от много директории и поддиректории и те от своя страна се използват за съхранение информация като статични HTML файлове, сървлети, CSS и JavaScript файлове, външни библиотеки, изображения и др.

Например страницата MakeUseOf на автор може да чете „www[dot]makeuseof.com/author/author-name/page/2/“, ако сте били на втората страница от потребителския профил на автора. Името на сайта или главната директория е "www[dot]makeuseof.com". Той има поддиректория, която съхранява авторски профили и произведения с име "/author/". Тази директория има друга поддиректория, съдържаща произведенията на този конкретен автор. След това следващата директория съдържа номера на страницата, на която се намирате.

Ръчното въвеждане на стотици имена на директории в уебсайт за сканиране за възможни скрити директории би било отнемаща време и безплодна задача. Вместо това хакерите използват инструменти успоредно със списъци с думи, за да автоматизират атаките с разрушаване на директории. Тези автоматизирани инструменти обикновено са многонишкови и работят с тях отправяне на HTTP или HTTPS заявка на всяко име на файл в списъка с думи. Ако името на директорията съществува, кодът и името на отговора се записват и показват.

Инструментът за разрушаване на директории или грубо форсиране е толкова добър, колкото и списъкът с думи. Списъкът с думи, както подсказва името, обикновено е .txt файл, който съдържа хиляди възможни имена на директории и файлове, които да бъдат сканирани от инструмента за грубо налагане на директории. В интернет има огромен брой списъци с думи, а много инструменти за разрушаване на директории се предлагат и с вградени.

За да използвате груба сила на директориите на уебсайт, имате нужда от URL адреса на уебсайта и списък с думи. Някои инструменти за разрушаване на директории предоставят опции като скорост, разширения на файлове или ви позволяват да зададете кое ниво на директории да сканирате или да скриете конкретни думи.

Как да защитите уебсайта си от спукване на директории

Самото разрушаване на директории или грубо принудително използване не е вредно, тъй като просто изброява скритите директории, които може да имате на вашия уебсайт. Информацията, която хакерът може да намери в тези директории, създава уязвимости във вашия уебсайт. Ако съхранявате чувствителна информация като изходен код или бази данни в директории, без да налагате подходящи разрешения, хакерите ще могат да се възползват от това.

И всеки може да бъде уязвим: дори Източният код на Microsoft беше изтекъл!

Най-честата уязвимост, която може да възникне от разрушаване на директория, е уязвимостта при преминаване на директория или път. Тази уязвимост позволява на хакера да има достъп до файлове и директории, които обикновено не трябва да имат разрешение за това. С обхождането на директория хакерите могат да четат и понякога пренаписват произволни файлове в уеб приложението. Те правят това чрез ескалиране на привилегиите от привилегиите на потребителя към привилегиите на root.

Ето няколко съвета за защита на вашите уебсайтове от уязвимости при разрушаване на директории:

  • Прилагане на разрешения за файлове и директории.
  • Винаги проверявайте потребителите и въвеждане на потребителя.
  • Поддържайте вашите сървъри и инфраструктурата зад тях актуални.

Бруталното принудително използване на директории не само идентифицира скрити директории във вашия уебсайт, но също така предоставя информация за структурата на вашия уебсайт⁠ – информация, която може да се окаже полезна за опитен хакер.

Разрушаване на директории и етично хакване

Етичните хакери използват инструменти за разрушаване на директории, за да смекчат уязвимостите, преди киберпрестъпник да ги намери. Разрушаването на директории е важно във фазата на изброяване на теста за проникване в мрежата и може да подобри сигурността на уебсайт чрез намиране на информация за уеб услуга, която не трябва да бъде достъпна за обществеността и премахването им.

Какво представлява тестването за проникване и как подобрява мрежовата сигурност?

Прочетете Следващото

ДялтуитДялелектронна поща

Свързани теми

  • Сигурност
  • интернет
  • Онлайн сигурност
  • Хакване

За автора

Чиома Ибеаканма (22 публикувани статии)

Чиома е технически писател, който обича да общува с читателите си чрез писането си. Когато не пише нещо, може да бъде намерена да излиза с приятели, да работи като доброволец или да изпробва нови технологични тенденции.

Още от Chioma Ibeakanma

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!

Щракнете тук, за да се абонирате