Web stranica nije samo samostalna aplikacija. Sastoji se od mapa, imenika i stranica koje sadrže upute i informacije za određeni zadatak ili zahtjev. Kada stupite u interakciju s web-mjestom, vodite se kroz niz direktorija. Ali nisu vam svi imenici vidljivi; neki su skriveni od javnosti. Kako hakeri upoznaju skrivene direktorije i iskorištavaju ih?

Što je razbijanje imenika?

Razbijanje direktorija (također poznato kao grubo prisilno korištenje imenika) je tehnologija web aplikacije koja se koristi za pronalaženje i prepoznavanje mogućih skrivenih direktorija na web stranicama. To se radi s ciljem pronalaženja zaboravljenih ili nezaštićenih web imenika kako bi se provjerilo jesu li ranjivi na iskorištavanje.

Kako funkcionira razbijanje imenika?

Razbijanje imenika provodi se kombinacijom automatiziranih alata i zbirke skripti koje se nazivaju popisi riječi. Neki od ovih alata uključuju Gobuster, Dirb, FFUF, Dirbuster, itd. Kako funkcionira razbijanje imenika?

Što je imenik?

Direktorij je mapa ili zbirka datoteka koje sadrže informacije. Koristi se u organizacijske svrhe i koristi hijerarhijski sustav. Web aplikacije se sastoje od mnogih direktorija i poddirektorija koji se zauzvrat koriste za pohranu informacije kao što su statičke HTML datoteke, servleti, CSS i JavaScript datoteke, vanjske biblioteke, slike itd.

instagram viewer

Na primjer, stranica MakeUseOf autora mogla bi glasiti "www[točka]makeuseof.com/author/author-name/page/2/" ako ste bili na drugoj stranici autorova profila. Naziv stranice ili korijenskog direktorija je "www[dot]makeuseof.com". Ima poddirektorij koji pohranjuje profile autora i djela pod nazivom "/autor/". Ovaj imenik ima još jedan poddirektorij koji sadrži djela tog određenog autora. Zatim, sljedeći imenik sadrži broj stranice na kojoj se nalazite.

Ručno upisivanje stotina imena imenika na web stranicu za skeniranje mogućih skrivenih direktorija bio bi dugotrajan i uzaludan zadatak. Umjesto toga, hakeri koriste alate uz popise riječi kako bi automatizirali napade razbijanja direktorija. Ovi automatizirani alati obično imaju više niti i rade na njima postavljanje HTTP ili HTTPS zahtjeva svakog naziva datoteke na popisu riječi. Ako naziv imenika postoji, kod odgovora i naziv se snimaju i prikazuju.

Alat za razbijanje direktorija ili brute-forcing alat je dobar koliko i popis riječi. Popis riječi, kao što naziv implicira, obično je .txt datoteka koja sadrži tisuće mogućih naziva direktorija i datoteka koje treba skenirati alatom za brute-force direktorija. Na internetu je dostupan ogroman broj popisa riječi, a mnogi alati za razbijanje imenika također dolaze s ugrađenim.

Za brutalnu upotrebu direktorija web-mjesta, potreban vam je URL web-mjesta i popis riječi. Neki alati za razbijanje direktorija pružaju opcije poput brzine, ekstenzija datoteka ili vam omogućuju da odredite koju razinu direktorija želite skenirati ili sakriti određene riječi.

Kako zaštititi svoju web stranicu od pucanja imenika

Razbijanje direktorija ili grubo prisilno samo po sebi nije štetno, jer samo nabraja skrivene direktorije koje možda imate na svojoj web stranici. Informacije koje bi haker mogao pronaći u tim imenicima stvaraju ranjivosti na vašoj web stranici. Ako pohranjujete osjetljive informacije poput izvornog koda ili baza podataka u direktorije bez nametanja odgovarajućih dopuštenja, hakeri bi to mogli iskoristiti.

I svatko može biti ranjiv: čak Microsoftov izvorni kod je procurio!

Najčešća ranjivost koja može proizaći iz pucanja direktorija je ranjivost direktorija ili prelaska putanje. Ova ranjivost omogućuje hakeru pristup datotekama i direktorijima za koje inače ne bi trebali imati dopuštenje. Uz obilaženje imenika, hakeri mogu čitati i ponekad prepisivati ​​proizvoljne datoteke na web aplikaciji. Oni to čine eskalacijom privilegija s privilegija korisnika na privilegije roota.

Evo nekoliko savjeta za zaštitu vaših web-mjesta od ranjivosti u imeniku:

  • Provedba dopuštenja datoteka i direktorija.
  • Uvijek provjerite korisnike i korisnički unos.
  • Održavajte svoje poslužitelje i infrastrukturu iza njih ažurnima.

Grubo prisiljavanje imenika ne samo da identificira skrivene direktorije na vašem web-mjestu, već također pruža informacije o strukturi vaše web-lokacije⁠—informacije koje bi se mogle pokazati korisnima vještom hakeru.

Razbijanje imenika i etičko hakiranje

Etički hakeri koriste alate za razbijanje direktorija kako bi ublažili ranjivosti prije nego što ih cyber kriminalac pronađe. Razbijanje imenika važno je u fazi nabrajanja testa web penetracije i može poboljšati sigurnost web stranice pronalaženjem informacija na web servisu koji ne bi trebali biti dostupni javnosti i uklanjajući ih.

Što je testiranje penetracije i kako poboljšava mrežnu sigurnost?

Pročitajte dalje

UdioCvrkutUdioE-mail

Povezane teme

  • Sigurnost
  • Internet
  • Sigurnost na mreži
  • Hakiranje

O autoru

Chioma Ibeakanma (Objavljeno 22 članka)

Chioma je tehnička spisateljica koja svojim pisanjem voli komunicirati sa svojim čitateljima. Kad nešto ne piše, može se naći kako se druži s prijateljima, volontira ili isprobava nove tehnološke trendove.

Više od Chioma Ibeakanma

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu