Веб локација није само самостална апликација. Састоји се од фасцикли, директоријума и страница које садрже упутства и информације за одређени задатак или захтев. Када ступите у интеракцију са веб локацијом, водите се кроз низ директоријума. Али нису вам сви директорији видљиви; неки су скривени од јавности. Како хакери сазнају о скривеним директоријумима и искоришћавају их?
Шта је разбијање именика?
Разбијање директоријума (познато и као бруте форцинг директоријума) је технологија веб апликација која се користи за проналажење и идентификацију могућих скривених директоријума на веб локацијама. Ово се ради са циљем проналажења заборављених или необезбеђених веб директоријума како би се видело да ли су рањиви на експлоатацију.
Како функционише разбијање директоријума?
Разбијање директоријума се врши помоћу комбинације аутоматизованих алата и колекције скрипти које се називају листе речи. Неки од ових алата укључују Гобустер, Дирб, ФФУФ, Дирбустер, итд. Како функционише разбијање директоријума?
Шта је именик?
Директоријум је фасцикла или збирка датотека које садрже информације. Користи се у организационе сврхе и користи хијерархијски систем. Веб апликације се састоје од многих директоријума и поддиректоријума и они се заузврат користе за складиштење информације као што су статичке ХТМЛ датотеке, сервлети, ЦСС и ЈаваСцрипт датотеке, екстерне библиотеке, слике итд.
На пример, страница МакеУсеОф аутора могла би да гласи „ввв[тачка]макеусеоф.цом/аутхор/аутхор-наме/паге/2/“ ако сте били на другој страници профила аутора. Име сајта или основног директоријума је „ввв[тачка]макеусеоф.цом“. Има поддиректоријум који чува профиле аутора и дела под називом „/аутор/“. Овај директоријум има још један поддиректоријум који садржи дела тог одређеног аутора. Затим, следећи директоријум садржи број странице на којој се налазите.
Ручно уношење стотина имена директоријума на веб локацију да би се скенирали могући скривени директоријуми био би дуготрајан и узалудан задатак. Уместо тога, хакери користе алате заједно са листама речи да аутоматизују нападе разбијања директоријума. Ови аутоматизовани алати су обично вишенитни и раде прављење ХТТП или ХТТПС захтева имена сваког фајла на листи речи. Ако име именика постоји, код одговора и име се снимају и приказују.
Алат за разбијање директоријума или бруте-форцинг је онолико добар колико и листа речи. Листа речи, као што назив имплицира, је обично .ткт датотека која садржи хиљаде могућих назива директоријума и датотека које треба скенирати алатком за бруте-форцинг директоријума. Постоји огроман број спискова речи доступних на интернету, а многи алати за разбијање директоријума такође долазе са уграђеним.
Да бисте грубо форсирали директоријуме веб локације, потребна вам је УРЛ адреса веб локације и листа речи. Неки алати за разбијање директоријума пружају опције као што су брзина, екстензије датотека или вам омогућавају да одредите који ниво директоријума да скенирате или сакријете одређене речи.
Како да заштитите своју веб локацију од пуцања директоријума
Разбијање директоријума или грубо присиљавање само по себи није штетно, јер само набраја скривене директоријуме које можда имате на својој веб локацији. Информације које хакер може пронаћи у тим директоријумима стварају рањивости на вашој веб локацији. Ако чувате осетљиве информације попут изворног кода или база података у директоријумима без наметања одговарајућих дозвола, хакери би то могли да искористе.
И свако може бити рањив: чак Мицрософтов изворни код је процурио!
Најчешћа рањивост која може настати услед пуцања директоријума је рањивост директоријума или преласка путање. Ова рањивост омогућава хакеру да приступи датотекама и директоријумима за које иначе не би требало да имају дозволу. Са обиласком директоријума, хакери су у могућности да читају и понекад преписују произвољне датотеке на веб апликацији. Они то раде ескалацијом привилегија са привилегија корисника на привилегије роот.
Ево неколико савета за заштиту ваших веб локација од рањивости у директоријуму:
- Примените дозволе за датотеке и директоријуме.
- Увек проверите кориснике и кориснички унос.
- Одржавајте своје сервере и инфраструктуру иза њих ажурном.
Грубо принудно коришћење директоријума не само да идентификује скривене директоријуме на вашој веб локацији, већ пружа и информације о структури ваше веб локације—информације које би се могле показати корисним вештом хакеру.
Пробијање директоријума и етичко хаковање
Етички хакери користе алате за разбијање директоријума да би ублажили рањивости пре него што их сајбер криминалац пронађе. Разбијање именика је важно у фази набрајања теста пенетрације на веб и може побољшати безбедност веб сајта проналажењем информација о веб сервису који не би требало да буду доступни јавности и уклањајући их.
Шта је тестирање пенетрације и како побољшава безбедност мреже?
Реад Нект
Повезане теме
- Безбедност
- Интернет
- Онлине безбедност
- Хаковање
О аутору
Чиома је техничка списатељица која воли да комуницира са својим читаоцима кроз своје писање. Када нешто не пише, може се наћи како се дружи са пријатељима, волонтира или испробава нове технолошке трендове.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, рецензије, бесплатне е-књиге и ексклузивне понуде!
Кликните овде да бисте се претплатили